Divulgation responsable
Divulgation responsable
Politique de Divulgation Responsable
Sisal Loterie Maroc s'efforce de garantir que son système de gestion de la sécurité de l'information soit conforme aux normes ISO/IEC 27001 et WLA SCS-2020. Sisal demande à tous les chercheurs en sécurité de signaler toute vulnérabilité qu'ils pourraient avoir détectée dans les produits ou services de Sisal afin de mieux protéger les utilisateurs et leurs données. Tous les chercheurs en sécurité pourront comprendre à travers cette politique comment signaler les vulnérabilités.
1.1. Signalement des vulnérabilités
Pour signaler une vulnérabilité de sécurité, la procédure suivante doit être suivie :
- Remplir le formulaire de soumission de rapport disponible via nos canaux numériques ;
- Fournir une description détaillée de la vulnérabilité, y compris les étapes pour la reproduire ;
- Joindre toutes captures d'écran, vidéos ou codes de test pertinents ;
- Soumettre le rapport.
Le formulaire de soumission de rapport se trouve sur une page dédiée à la gestion des rapports. Il vous faudra ensuite remplir un formulaire avec les informations suivantes :
- Titre de la vulnérabilité
- Type de bug
- Niveau de gravité
- Reproductibilité
- Description étape par étape (y compris une indication du service affecté, des URL ou des IP)
- Résultat attendu
- Résultat obtenu
- Date et heure de découverte de la vulnérabilité
- Autres commentaires
- Images/vidéos
1.2. Directives pour les chercheurs en sécurité
Sisal demande à tous les chercheurs de suivre attentivement les directives suivantes et de se conformer aux réglementations en vigueur afin d'éviter des violations ou d'éventuels délits informatiques punis par le système juridique (y compris par des peines de prison). À titre d'exemple et non de limitation :
- Ne pas exploiter la vulnérabilité ou le problème découvert ;
- Ne pas effectuer d'activités pouvant :
- nuire à Sisal ;
- nuire à ses utilisateurs ;
- bloquer un système ou un service Sisal ;
- entraîner une perte de données.
- Garder confidentielles toutes les informations concernant les vulnérabilités découvertes, sauf accord mutuel ;
- Éviter les violations de la vie privée. Interagir uniquement avec des comptes qui vous appartiennent ;
- Faire preuve de prudence et de modération avec les données personnelles et ne pas engager intentionnellement des attaques contre des tiers, des attaques d'ingénierie sociale, des attaques par déni de service, des attaques physiques sur des biens Sisal ou du spam ;
- Ne pas gêner les autres utilisateurs ;
- Ne pas utiliser de scanners de vulnérabilité courants. Le scan des vulnérabilités doit être manuel, bien que des outils avec des requêtes automatisées soient autorisés s'ils se limitent à 5 requêtes par seconde.
En outre, les chercheurs devront :
- Soumettre la documentation en anglais ;
- Utiliser des identifiants permettant de déterminer qu'ils sont des chercheurs en sécurité (par exemple, dans les journaux, requêtes, détails de compte) ;
- Être âgés d'au moins 18 ans ;
- Se conformer à toutes les lois locales et nationales applicables.
En respectant ces règles, Sisal s'engage à :
- Répondre initialement et prendre en charge le rapport dans les quelques jours ouvrables ;
- Ne pas engager d'actions légales contre les chercheurs en sécurité qui signalent des vulnérabilités en suivant cette politique ;
- Ne pas transmettre de données personnelles à des tiers, sauf en cas de nécessité légale ;
- Informer les chercheurs de l'avancement et de la résolution des vulnérabilités détectées ;
- En cas de doublons, Sisal considérera le premier rapport reçu (à condition qu'il puisse être entièrement reproduit).
1.3. Types de vulnérabilités
Sisal est particulièrement intéressé par les vulnérabilités qui pourraient compromettre la confidentialité, l'intégrité ou la disponibilité des données des utilisateurs ou perturber le fonctionnement normal des plateformes.
Tout problème de conception ou d'implémentation qui affecte substantiellement la confidentialité ou l'intégrité des données des utilisateurs est susceptible de relever du programme. Les exemples courants incluent :
- Cross-Site Scripting (XSS) ;
- Cross-Site Request Forgery (CSRF) ;
- Failles d'authentification ou d'autorisation ;
- Server-Side Request Forgery (SSRF) ;
- Server-Side Template Injection (SSTI) ;
- Injection SQL (SQLI) ;
- External Entity XML (XXE) ;
- Exécution de code à distance (RCE) ;
- Inclusions de fichiers locaux ou distants.
1.4. Éléments non considérés comme une vulnérabilité
- Spam par email/SMS ou techniques d'ingénierie sociale sur les employés, sous-traitants et commerçants ;
- Attaques DoS ou DDoS ;
- Vulnérabilités possibles sur des applications/services tiers intégrés aux plateformes Sisal ;
- Injection de contenu. La publication de contenu sur un portail est une fonction principale, donc l'injection de contenu (également connue sous le nom de « spoofing de contenu » ou « injection HTML ») n'est pas prise en compte sauf si un risque clair est démontré ;
- Rapports de pannes soudaines sur les applications mobiles non reproductibles sur les versions à jour du système d'exploitation ou sur des appareils mobiles publiés au cours des 24 derniers mois ;
- Clickjacking sur des pages sans actions/données sensibles ;
- Cross-Site Request Forgery (CSRF) sur des formulaires non authentifiés ou sur des formulaires sans actions/données sensibles ;
- Attaques nécessitant un MITM (Man in The Middle) ou un accès physique à l'appareil de l'utilisateur
- Mauvaise configuration SSL/TLS ;
- Politiques de mot de passe, d'email et de compte (par exemple, vérification de l'identité par email, complexité du mot de passe)
- Limitation de taux ou force brute sur des points de terminaison sans authentification ;
- Absence de drapeaux httpsOnly ou Secure sur les cookies ;
- Divulgation de version logicielle / Identification de bannières / Messages d'erreur ou en-têtes verbeux (par exemple, traces de pile, erreurs d'application ou de serveur) ;
- Backdoors ;
- Injection de commande (en cas de vulnérabilité d'injection de commande, montrez simplement la sortie des commandes id ou hostname et arrêtez l'exploitation à ce stade).
ATTENTION : lors de l'analyse d'applications hébergées par des fournisseurs de services Cloud (CSP), lisez attentivement et respectez toujours les règles d'engagement des CSP. Exemples :
- Règles d'engagement pour AWS : https://aws.amazon.com/security/penetration-testing/
- Règles d'engagement pour Azure : https://www.microsoft.com/en-us/msrc/pentest-rules-of-engagement
- Règles d'engagement pour Google Cloud : https://cloud.google.com/security/overview/
(ce ne sont que des exemples, identifiez toujours le CSP et suivez ses règles d'engagement)
L'Agence de l'Union européenne pour la cybersécurité (ENISA) a publié une carte des politiques nationales de divulgation des vulnérabilités (CVD) dans les États membres de l'UE. Dans ce lien, vous trouverez leurs recommandations : https://www.enisa.europa.eu/news/enisa-news/coordinated-vulnerability-disclosure-policies-in-the-eu
1.5. Plateforme de signalement et récompenses
Sisal ne propose pas de mécanisme de récompense, mais en fonction de la gravité et de l'impact de la vulnérabilité, il peut accorder une récompense. Ainsi, toute récompense accordée est à la seule discrétion de l'entreprise et dépend de facteurs tels que l'impact potentiel de la vulnérabilité, l'originalité du résultat et la qualité du rapport.
Sisal se réserve également le droit de mettre à jour cette politique de divulgation responsable à tout moment.