GoDaddy
Politique De Divulgation Responsable Et Programme Bug Bounty De GoDaddy

5 avril 2016

Politique de divulgation responsable et Programme Bug Bounty de GoDaddy

Politique de divulgation responsable :

GoDaddy encourage la divulgation responsable des vulnérabilités en matière de sécurité de ses services ou de son site Web. Afin de faciliter la divulgation responsable des vulnérabilités en matière de sécurité, nous convenons, à notre seule discrétion, que si nous concluons que la divulgation répond à l’ensemble des lignes directrices du Programme Bug Bounty de GoDaddy, nous n’intenterons aucune poursuite pénale ou civile à l’encontre de la partie divulgatrice.

Programme Bug Bounty

GoDaddy propose des primes monétaires pour la divulgation responsable de certaines vulnérabilités admissibles en matière de sécurité. Notre Programme Bug Bounty fonctionne comme suit :

Les services concernés :

Seuls les services Web proposés sur les sites www.godaddy.com et sso.godaddy.com sont concernés par le Programme Bug Bounty de GoDaddy.

Les vulnérabilités admissibles :

GoDaddy acceptera le signalement de toute vulnérabilité qui influe fortement sur la confidentialité ou l’intégrité de tout service admissible qu’elle propose. Les vulnérabilités admissibles comprennent, mais sans s’y limiter :

  • Les attaques sur les éléments dynamiques (XSS) ;

  • Les lacunes relatives à l’authentification et à l’autorisation ;

  • La falsification de requête intersite (CSRF) ;

  • L’exécution de code à distance ;

  • L’injection SQL ;

  • La traversée de répertoires ;

  • Le détournement de clic ; et

  • L’escalade des privilèges.

Les vulnérabilités non admissibles :

Tout domaine ne figurant pas sur les sites www.godaddy.com ou sso.godaddy.com est hors du champ d’application du Programme Bug Bounty. Cela vaut également pour les contenus hébergés des clients, ainsi que les programmes et modules d’extension tiers.

Les événements suivants ne sont pas admissibles au Programme Bug Bounty et ne doivent pas être testés par les chercheurs participant à ce programme :

  • Les attaques par déni de service, force brute, énumération d’utilisateurs ou déni de service distribué ;

  • Les attaques physiques ;

  • Les attaques par hameçonnage ;

  • Tout bogue qui s’appuie sur l’ingénierie sociale ;

  • Les attaques CRIME/BEAST ;

  • Les attaques CSRF ;

  • Les divulgations de bannière et de version ;

  • Les enregistrements SPF manquants ;

  • L’inscription à l’annuaire (sauf si les données sensibles peuvent être obtenues) ;

  • Les techniques de Black Hat SEO ; et

  • Tout bogue provoqué par un navigateur obsolète.

GoDaddy n’acceptera pas le signalement de tout cas détecté au moyen des scanners de vulnérabilités automatisés.

Primes :

Toutes les primes sont accordées à la discrétion de l’équipe Bug Bounty de GoDaddy sur la base de la gravité de la vulnérabilité signalée. Le montant minimal de toute prime accordée s’élève à cinquante dollars (50 USD). Une (1) seule prime sera accordée par bogue de sécurité. Les primes seront accordées au premier chercheur qui divulgue de manière responsable un bogue en particulier.

Enquête et signalement :

Le chercheur en sécurité informatique signalant une vulnérabilité doit examiner minutieusement et confirmer la vulnérabilité avant de la soumettre. Tous les signalements doivent comprendre les éléments suivants :

  1. Les étapes nécessaires à la reproduction de la vulnérabilité ; et

  2. Une description claire de tous les comptes utilisés dans le cas signalé et leurs relations.

Pour signaler toute vulnérabilité, veuillez suivre le processus décrit dans cet article dans le Centre d’aide de GoDaddy.

Suggestions pour effectuer un signalement en bonne et due forme :

  1. Plus les étapes nécessaires à la reproduction du bogue sont présentées en détail, mieux c’est. Cela doit comprendre toutes les pages que vous avez consultées, les identifiants d’utilisateur, les liens cliqués, etc.

  2. Les vidéos et images sont toujours utiles, mais elles le sont encore plus si elles sont accompagnées d’une description.

  3. Un code d’exploitation qui fonctionne systématiquement peut nous permettre de vérifier plus rapidement la vulnérabilité que vous avez signalée.

  4. N’oubliez pas – détails, détails, détails !

Confidentialité :

Toute information que vous recueillez sur GoDaddy ou sur ses employés ou clients (« Informations confidentielles ») par le biais du Programme Bug Bounty doit demeurer confidentielle et ne peut être utilisée que dans le cadre du Programme. Les vulnérabilités ne peuvent être divulguées qu’après avoir été dûment corrigées et aucune divulgation d’Informations confidentielles n’est autorisée sans le consentement écrit préalable de GoDaddy. Toute divulgation d’Informations confidentielles au mépris de cette obligation entraînera le retrait immédiat du Programme.

Aspect juridique :

En participant au Programme Bug Bounty de GoDaddy, vous reconnaissez avoir lu et accepté l’Accord sur les conditions universelles d’utilisation et la Politique de confidentialité de GoDaddy.

Les essais que vous réalisez ne doivent pas contrevenir à toute loi, perturber des services ou compromettre des données dont vous n’êtes pas le propriétaire.

Vous êtes seul(e) responsable de l’acquittement de toute taxe et retenue à la source applicable découlant de votre participation au Programme Bug Bounty de GoDaddy ou s’y rapportant, y compris sur toute prime versée.

GoDaddy se réserve le droit de faire appel à un prestataire de services tiers pour assurer la gestion de son Programme Bug Bounty. Dans une telle éventualité, les conditions générales dudit prestataire s’appliqueront.

Les personnes ou entités figurant sur les listes de sanctions américaines ou basées dans des pays ou régions figurant sur lesdites listes ne sont pas admissibles aux primes attribuées dans le cadre du Programme Bug Bounty.

La décision de verser ou non une prime relève de l’entière discrétion de GoDaddy.

Il s’agit d’un programme de primes discrétionnaires. Il peut être annulé à tout moment.


05/04/16
© 2016 GoDaddy.com, LLC