Programme de divulgation des vulnérabilités

La sécurité est au cœur des valeurs de JOIN, et nous apprécions les contributions des chercheurs en sécurité agissant de bonne foi afin de nous aider à maintenir un niveau élevé de sécurité et de protection de la vie privée pour nos utilisateurs. Cela inclut l’encouragement à la recherche et à la divulgation responsables des vulnérabilités. Cette politique définit ce que nous considérons comme une démarche de bonne foi dans le cadre de la découverte et du signalement de vulnérabilités, ainsi que ce que vous pouvez attendre de notre part en retour. Il s’agit d’un programme sans récompense et n’offre aucune compensation financière.

Attentes

Lorsque vous travaillez avec nous conformément à cette politique, vous pouvez vous attendre à ce que nous :

  • Accordions un Safe Harbor (cadre de protection) pour vos recherches en matière de vulnérabilités liées à cette politique ;
  • Collaborions avec vous pour comprendre et valider votre rapport, y compris une réponse initiale rapide à la soumission ;
  • Corrigions les vulnérabilités découvertes dans des délais raisonnables.

Canaux officiels

Toute vulnérabilité considérée comme entrant dans le périmètre doit être signalée à [email protected]. Veuillez conserver toutes les communications relatives aux vulnérabilités signalées dans un seul et même fil de discussion par e-mail.

Directives

Afin d’encourager la recherche sur les vulnérabilités et d’éviter toute confusion entre recherche légitime et attaque malveillante, nous vous demandons, de bonne foi, de :

  • Respecter les règles. Vous conformer à cette politique et à tout autre accord pertinent, par exemple les Conditions d’utilisation ;
  • Signaler rapidement toute vulnérabilité découverte ;
  • Éviter toute atteinte à la vie privée d’autrui, toute perturbation de nos systèmes, toute destruction de données et/ou toute dégradation de l’expérience utilisateur ;
  • Utiliser uniquement les Canaux officiels pour discuter avec nous des informations relatives aux vulnérabilités ;
  • Traiter la confidentialité des détails de toute vulnérabilité découverte conformément à la section Divulgation coordonnée ci-dessous ;
  • Effectuer des tests uniquement sur les systèmes inclus dans le périmètre et respecter les systèmes et activités exclus du périmètre ;
  • Si une vulnérabilité permet un accès non intentionnel aux données des utilisateurs, telles que des données personnelles identifiables (PII), ou à des informations propriétaires : cesser immédiatement les tests et soumettre un rapport sans délai ;
  • Interagir uniquement avec les comptes que vous possédez, sauf autorisation explicite du titulaire du compte ;
  • Ne pas pratiquer l’extorsion ;
  • Être clair et concis — un lien court vers une preuve de concept est très apprécié ;
  • Ne jamais tenter d’attaques non techniques — telles que l’ingénierie sociale, le phishing ou les attaques physiques — contre nos employés, utilisateurs ou infrastructures ;
  • Ne pas consulter, modifier, enregistrer, stocker, transférer ou accéder de quelque manière que ce soit à nos données ou à celles de nos utilisateurs sans autorisation explicite.

Nous pouvons modifier les conditions ou mettre fin à ce programme à tout moment.

Safe Harbor

Lorsque vous menez des recherches sur les vulnérabilités conformément à cette politique, nous considérons que ces recherches sont :

  • Autorisées au regard des lois applicables contre le piratage, et nous n’engagerons ni ne soutiendrons d’action en justice contre vous pour des violations accidentelles et de bonne foi de cette politique ;
  • Autorisées au regard des lois pertinentes relatives au contournement des mesures techniques, et nous n’intenterons aucune action pour contournement de contrôles technologiques ;
  • Exemptées, de manière limitée, des restrictions de notre Politique d’utilisation acceptable qui entraveraient la recherche en sécurité ;
  • Légales, bénéfiques pour la sécurité globale d’Internet et menées de bonne foi.

Vous êtes tenu, comme toujours, de respecter l’ensemble des lois applicables. Si un tiers engage des poursuites judiciaires contre vous et que vous avez respecté cette politique, nous prendrons les mesures nécessaires pour démontrer que vos actions étaient conformes à cette politique.

Si à tout moment vous avez des doutes ou des préoccupations quant à la conformité de vos recherches avec cette politique, veuillez nous contacter à [email protected] avant de poursuivre.

Dans le périmètre (In-Scope)

Ce programme s’applique uniquement aux vulnérabilités affectant les systèmes hébergés sur join.com.

Tout problème de conception ou de mise en œuvre affectant de manière significative la confidentialité ou l’intégrité des données des utilisateurs est susceptible d’être considéré comme entrant dans le périmètre. Exemples courants :

  • Cross-site scripting (XSS).
  • Cross-site request forgery (CSRF).
  • Scripts à contenu mixte.
  • Failles d’authentification ou d’autorisation.
  • Bugs d’exécution de code côté serveur.
  • Contournement de notre modèle d’autorisations.
  • Injection SQL.
  • Attaques par entités externes XML (XXE).

Cette liste n’est pas exhaustive. Tout signalement concernant un possible compromis de données sensibles des utilisateurs ou de nos systèmes est pertinent. Cela inclut également les faiblesses de sécurité graves dans toute dépendance — bibliothèques open source, logiciels ou composants tiers — utilisées activement dans le développement de nos produits et services couverts par cette politique.

Hors périmètre (Out-of-Scope)

Les éléments suivants sont explicitement exclus du périmètre de ce programme :

  • Politiques relatives à la présence ou à l’absence d’enregistrements SPF/DMARC.
  • Politiques de mots de passe, d’e-mail et de comptes (vérification d’adresse e-mail, expiration des liens de réinitialisation, complexité des mots de passe).
  • CSRF lors de la déconnexion.
  • Attaques nécessitant un accès physique à l’appareil de l’utilisateur.
  • XSS sur tout site autre que join.com.
  • Attaques nécessitant un outil d’exploitation superposé à notre application (par exemple, le tapjacking).
  • Vulnérabilités nécessitant l’installation de logiciels non standard ou des actions actives de la part de la victime.
  • Vulnérabilités affectant les utilisateurs de navigateurs ou de plateformes obsolètes.
  • Ingénierie sociale ciblant nos employés ou sous-traitants.
  • Toute tentative physique contre nos locaux ou centres de données.
  • Présence de l’attribut autocomplete dans les formulaires web.
  • Absence d’indicateurs de sécurité sur des cookies non sensibles.
  • Accès aux données nécessitant l’utilisation d’un appareil mobile rooté.

Les éléments suivants sont hors périmètre sauf preuve d’exploitabilité :

  • Utilisation d’une bibliothèque connue comme vulnérable.
  • Absence de bonnes pratiques.
  • Chiffrement SSL/TLS non sécurisé.
  • Absence d’en-têtes de sécurité ne menant pas directement à une vulnérabilité.
  • Absence de jetons CSRF, sauf preuve d’une action utilisateur sensible non protégée.
  • Injections d’en-tête Host.
  • Rapports provenant d’outils automatisés non validés manuellement.
  • Présence d’informations de version ou de bannière, sauf version vulnérable.

Divulgation coordonnée

Les chercheurs peuvent partager les détails des vulnérabilités avec des tiers uniquement après que la vulnérabilité a été corrigée et que le Programme a accordé l’autorisation de divulgation.

Logiciel de recrutement qui vous aide à embaucher plus vite.