Divul­ga­tion responsable

Chez Knox, la sécu­ri­té de nos sys­tèmes, de notre réseau et de nos pro­duits est pri­mor­diale. Mal­gré le grand soin que nous appor­tons à la sécu­ri­té, des points faibles peuvent sub­sis­ter. Si vous avez consta­té une telle fai­blesse, nous aime­rions en être infor­més le plus tôt pos­sible afin de pou­voir prendre les mesures appro­priées le plus rapidement possible.

Les points faibles peuvent être décou­verts de deux manières : vous pou­vez tom­ber acci­den­tel­le­ment sur une vul­né­ra­bi­li­té pen­dant l’u­ti­li­sa­tion nor­male d’un envi­ron­ne­ment numé­rique, ou vous pou­vez expli­ci­te­ment faire de votre mieux pour en trouver.

Notre poli­tique de divul­ga­tion res­pon­sable n’est pas une invi­ta­tion à par­cou­rir acti­ve­ment notre réseau d’af­faires pour décou­vrir les points faibles. Nous sur­veillons nous-mêmes notre réseau d’af­faires. Celà signi­fie qu’il y a de fortes chances qu’un scan soit détec­té et qu’une enquête soit effec­tuée par notre équipe infor­ma­tique, ce qui pour­rait entraî­ner des coûts inutiles.

Vous pou­vez cepen­dant être invi­té à recher­cher acti­ve­ment les vul­né­ra­bi­li­tés de nos pro­duits dans un envi­ron­ne­ment dédié via notre pro­gramme Bug Boun­ty sur Hacke­rOne. Si vous sou­hai­tez être invi­té à notre pro­gramme pri­vé, n’hé­si­tez pas à envoyer une demande à security@​joinknox.​com avec votre nom d’u­ti­li­sa­teur Hacke­rOne. Les autres pro­grammes de recherche active de vul­né­ra­bi­li­tés ne sont auto­ri­sés qu’a­près accord écrit de Knox Services.

Notre res­pon­sa­bi­li­té envers nos clients signi­fie que notre inten­tion n’est pas d’en­cou­ra­ger les ten­ta­tives de pira­tage sur leur infra­struc­ture ; cepen­dant, nous aime­rions avoir un retour le plus tôt pos­sible quand des vul­né­ra­bi­li­tés sont décou­vertes, afin que nous puis­sions les résoudre adéquatement.

Nous aime­rions tra­vailler avec vous pour mieux pro­té­ger nos clients et nos systèmes.

Nous vous demandons :

  • Envoyez vos résul­tats par cour­riel le plus rapi­de­ment pos­sible à security@​joinknox.​com.
  • N’a­bu­sez pas de la vul­né­ra­bi­li­té, par exemple en télé­char­geant, en modi­fiant ou en sup­pri­mant des don­nées. Nous pren­drons tou­jours votre rap­port au sérieux et enquê­te­rons sur toute sus­pi­cion de vul­né­ra­bi­li­té, même sans preuve.
  • Ne par­ta­gez pas le pro­blème avec d’autres per­sonnes avant qu’il n’ait été résolu.
  • N’u­ti­li­sez pas d’at­taques contre la sécu­ri­té phy­sique, d’ou­tils d’in­gé­nie­rie sociale ou de pira­tage, tels que les scan­ners de vulnérabilité.
  • Don­nez des infor­ma­tions adé­quates pour que le pro­blème soit repro­duit afin que nous puis­sions le résoudre le plus rapi­de­ment pos­sible. Habi­tuel­le­ment, l’a­dresse IP ou l’URL du sys­tème affec­té et une des­crip­tion de la vul­né­ra­bi­li­té suf­fisent, bien que des infor­ma­tions sup­plé­men­taires puissent être néces­saires pour les vul­né­ra­bi­li­tés plus complexes.

Ce que nous promettons :

  • Nous répon­drons à votre rap­port dans les trois jours ouvrables, avec notre éva­lua­tion du rap­port et une date de résolution prévue.
  • Nous trai­te­rons votre rap­port en toute confi­den­tia­li­té et ne par­ta­ge­rons pas vos ren­sei­gne­ments per­son­nels avec des par­ties tierces sans votre per­mis­sion. La police et la jus­tice font excep­tion à cette règle en cas de pour­suites ou si des infor­ma­tions sont demandées.
  • Nous vous tien­drons au cou­rant de l’é­vo­lu­tion de la réso­lu­tion du problème.
  • Dans la com­mu­ni­ca­tion concer­nant le pro­blème signa­lé, nous indi­que­rons votre nom en tant que par­tie qui a décou­vert le pro­blème, si vous le souhaitez.
  • Il n’est mal­heu­reu­se­ment pas pos­sible de garan­tir par avance qu’au­cune action judi­ciaire ne sera inten­tée contre vous. Nous espé­rons être en mesure d’exa­mi­ner chaque situa­tion indi­vi­duel­le­ment. Nous nous consi­dé­rons mora­le­ment obli­gés de vous signa­ler si nous soup­çon­nons un abus de la fai­blesse ou des don­nées, ou que vous avez par­ta­gé la connais­sance de la fai­blesse avec d’autres per­sonnes. Vous pou­vez être assu­ré qu’une décou­verte acci­den­telle dans notre envi­ron­ne­ment en ligne ne don­ne­ra pas lieu à des poursuites judiciaires.
  • Pour vous remer­cier de votre aide, nous offrons une récom­pense pour chaque signa­le­ment d’un pro­blème de sécu­ri­té que nous ne connais­sons pas. Nous déter­mi­nons la valeur de la récom­pense en fonc­tion de la gra­vi­té de l’in­frac­tion et de la qua­li­té du rapport.

Nous nous effor­çons de résoudre tous les pro­blèmes le plus rapi­de­ment pos­sible, de tenir toutes les par­ties concer­nées infor­mées et nous aime­rions être impli­qués dans toute publi­ca­tion sur le pro­blème une fois qu’il sera réso­lu. Avec nos remer­cie­ments à Floor Ter­ra pour son exemple de texte en néer­lan­dais sur www​.res​pon​si​ble​dis​clo​sure​.nl