Contact securite
Signalez les vulnerabilites de notre infrastructure de maniere responsable
Divulgation responsable
En tant qu'organisation de recherche en securite, nous prenons la securite de notre propre infrastructure au serieux. Si vous avez decouvert une vulnerabilite dans les systemes d'ODINT, nous voulons en etre informes. Nous nous engageons a travailler avec les chercheurs en securite qui signalent les vulnerabilites de maniere responsable.
Signaler une vulnerabilite
Pour les problemes de securite lies a l'infrastructure d'ODINT :
[email protected]Veuillez inclure "SECURITY" dans l'objet du message
Perimetre
Dans le perimetre
- Site web odint.io et sous-domaines
- Nos applications web publiques
- Points d'acces API (lorsque disponibles)
- Instance SecureDrop (lorsque operationnelle)
- Problemes d'authentification et d'autorisation
- Vulnerabilites d'exposition de donnees
Hors perimetre
- Attaques d'ingenierie sociale contre notre equipe
- Attaques physiques contre notre infrastructure
- Attaques par deni de service
- Services tiers que nous utilisons (signalez-les directement a ces services)
- Problemes necessitant un acces physique
- Spam ou hameconnage
Que faut-il inclure
Lorsque vous signalez une vulnerabilite, veuillez inclure :
- Description de la vulnerabilite et de son impact potentiel
- Instructions etape par etape pour reproduire le probleme
- Preuve de concept (captures d'ecran, videos ou code) si possible
- Votre evaluation de la gravite
- Toute suggestion de remediation
- Vos coordonnees pour le suivi (peut etre anonyme)
Notre engagement
Lorsque vous nous signalez une vulnerabilite, nous nous engageons a :
- Accuser reception dans les 48 heures
- Fournir une evaluation initiale dans les 7 jours
- Vous tenir informe de notre progression
- Vous crediter dans toute divulgation publique (si vous le souhaitez)
- Ne pas engager de poursuites judiciaires contre les chercheurs de bonne foi
Important
Veuillez ne pas divulguer publiquement les vulnerabilites avant que nous ayons eu un delai raisonnable pour les traiter. Nous demandons un minimum de 90 jours avant toute divulgation publique.
Protection juridique
Nous considerons la recherche en securite menee conformement a cette politique comme autorisee. Nous n'engagerons pas de poursuites judiciaires contre les chercheurs qui :
- Agissent de bonne foi et evitent les violations de la vie privee
- Evitent de perturber nos services
- N'accedent pas et ne modifient pas les donnees appartenant a d'autres
- Signalent les vulnerabilites rapidement
- Nous laissent un delai raisonnable pour remedier avant divulgation
Remarque
Cette page est destinee au signalement des problemes de securite de la propre infrastructure d'ODINT. Si vous souhaitez signaler une infrastructure gouvernementale exposee que vous avez decouverte, veuillez visiter notre page Soumettre une information.