Révéler une vulnérabilité

Les informations contenues sur cette page sont destinées aux chercheurs en sécurité, désireux de signaler de manière responsable les failles de sécurité à l’équipe de sécurité de Zscaler.

Programme de divulgation des vulnérabilités

Dernière mise à jour : 21 septembre 2022

Introduction

La sécurité exige une transformation, et il n’existe pas meilleure façon de transformer un programme de sécurité que de nous engager directement auprès de nos utilisateurs. Cet engagement, associé à une profonde conviction en la collaboration avec la communauté de la sécurité, est primordial pour maintenir un environnement sécurisé pour tous nos utilisateurs.

Si vous pensez avoir découvert une faille de sécurité sur ou dans un produit, un service ou une application de Zscaler, nous vous encourageons à nous en informer le plus rapidement possible. Nous vous demandons de respecter la confidentialité de ces signalements jusqu’à ce que nous ayons résolu le problème.

En retour, nous nous efforcerons d’examiner les signalements et d’y répondre dans les meilleurs délais. Notre chasseur de bugs partenaire, Bugcrowd, vous contactera dans un premier temps pour étudier votre contribution. Zscaler ne sollicitera pas de recours judiciaire ni d’application de la loi à votre encontre pour avoir identifié des problèmes de sécurité, à condition que vous 1) respectiez les politiques énoncées dans le présent document ; 2) respectiez les conditions standards de divulgation de Bugcrowd ; 3) ne compromettiez pas la sécurité ni la confidentialité de nos utilisateurs ; 4) ne détruisiez pas les données sensibles que vous auriez pu recueillir auprès de Zscaler dans le cadre de vos recherches une fois les problèmes résolus ; et 5) acceptiez et respectiez les conditions de confidentialité de Zscaler ci-dessous.

Confidentialité

En vous engageant ou en participant a ce programme et/ou en soumettant une vulnérabilité de sécurité à Zscaler, vous acceptez de respecter les dispositions suivantes en matière de confidentialité.

« Informations confidentielles » désigne (i) toutes les informations de Zscaler obtenues au cours des tests de sécurité ou par le biais de votre participation au Programme de divulgation de vulnérabilités de Zscaler, (ii) toutes les informations qui vous sont divulguées dans le cadre du dossier de chasseur de bogues Bugcrowd, et (iii) toutes vos soumissions. Aucun droit sur les Informations confidentielles ou la propriété intellectuelle de Zscaler ne vous est octroyé du fait de la réalisation de tests ou de la participation au Programme de divulgation de vulnérabilités de Zscaler.

Les Informations confidentielles n’incluent pas les informations qui (i) sont ou deviennent accessibles au public sans faute de votre part et sans violation des présentes dispositions, (ii) sont développées indépendamment sans utilisation ou référence aux Informations confidentielles, ou (iii) vous sont ou vous deviennent connues à partir d’une source non liée par des restrictions de confidentialité.

Avant de procéder à des tests ou de soumettre des résultats, vous acceptez (i) de préserver la confidentialité des Informations confidentielles, (ii) de protéger ces Informations confidentielles contre toute utilisation ou divulgation non autorisée, (iii) de ne pas divulguer ces Informations confidentielles à un tiers, y compris au public, (iv) de ne pas utiliser ces Informations confidentielles à des fins autres que la participation au Programme de divulgation des vulnérabilités de Zscaler, et (v) d’informer immédiatement Zscaler en cas de découverte de toute perte ou divulgation non autorisée d’Informations confidentielles. Nonobstant ce qui précède, vous pouvez divulguer les Informations confidentielles relatives à Zscaler à Zscaler ou à Bugcrowd via le portail partenaire Bugcrowd.

Merci pour votre aide !

Champ d’application et règles du programme de vulnérabilité

Périmètre

Nous sommes principalement intéressés par les catégories de vulnérabilités suivantes :

  • Exposition de données sensibles – Cross Site Scripting (XSS) stockés, injection SQL (SQLi), etc.
  • Problèmes liés à l’authentification ou à la gestion de session
  • Exécution de code à distance
  • Vulnérabilités particulièrement astucieuses ou problèmes uniques qui ne correspondent pas à des catégories explicites : montrez-nous vos talents !

Hors Périmètre

Vous devez éviter les catégories de vulnérabilités suivantes, qui ne relèvent pas de notre programme de divulgation responsable :

  • Déni de service (DoS), via le trafic réseau, l’épuisement des ressources ou d’autres méthodes
  • Énumération d'utilisateurs
  • Problèmes uniquement présents sur les anciens navigateurs/plug-ins ou dans des navigateurs logiciels en fin de vie
  • Phishing ou ingénierie sociale des employés, utilisateurs ou clients de Zscaler
  • Systèmes ou problèmes liés à des technologies tierces utilisée par Zscaler
  • Divulgation de fichiers publics connus et autres divulgations d’informations qui ne constituent pas un risque important (par exemple : robots.txt)
  • Toute attaque ou vulnérabilité qui repose sur l’ordinateur d’un utilisateur déjà compromis

Vous êtes tenu de vous engager de manière responsable dans la recherche sur la sécurité. Par exemple, si vous découvrez un mot de passe ou une clé publiquement exposés, vous ne devez pas les utiliser pour tester l’étendue de l’accès qu’ils accordent ni pour télécharger ou exfiltrer des données afin de prouver qu’ils sont actifs. De même, si vous découvrez une injection SQL réussie, vous ne devez pas exploiter la vulnérabilité au-delà des étapes initiales nécessaires pour démontrer votre preuve de concept.

L’exfiltration ou le téléchargement excessifs des données de Zscaler, ou une demande de paiement en contrepartie de la destruction des données Zscaler, seront considérés en dehors du champ de ce programme, et Zscaler se réservera tous ses droits, recours et actions pour se protéger et protéger ses utilisateurs.

Pour quelle récompense ?

Si votre signalement de vulnérabilité affecte un produit ou un service dans le champ d’application, vous êtes également susceptible de percevoir une récompense. Si vous êtes un chercheur Bugcrowd, vous pouvez revendiquer votre soumission ci-dessous pour obtenir des points de reconnaissance. Si vous souhaitez nous aider de manière plus engagée en tant que chercheur en sécurité dans le cadre de notre programme privé, veuillez contacter [email protected] en joignant votre demande et votre motivation.

Zscaler détermine à sa seule discrétion quelles soumissions sont admissibles à des récompenses.

Signaler une faille de sécurité

Veuillez utiliser notre formulaire pour signaler à Zscaler les failles de sécurité via notre portail partenaire Bugcrowd. Zscaler évalue généralement les vulnérabilités sur la base du score CVSS.