Politique de divulgation des vulnérabilités

L’équipe Sécurité de Zoom s’engage à protéger nos utilisateurs et leurs données. Nous sommes convaincus que la communauté des chercheurs indépendants en sécurité est un acteur clé de la sécurité d’Internet et nous accueillons volontiers les signalements de problèmes de sécurité potentiels.

La présente politique établit des lignes directrices pour les chercheurs en sécurité, afin qu'ils mènent des recherches déontologiques et coordonnent la divulgation des failles de sécurité à Zoom.

Nous avons développé cette politique pour refléter nos valeurs et confirmer notre sens des responsabilités aux chercheurs en sécurité qui mettent leur expertise à notre disposition. Nous encourageons les chercheurs en sécurité à signaler les potentielles failles de sécurité qu’ils ont découvertes pour que nous puissions les corriger et préserver la sécurité de nos utilisateurs.

Ce programme est hébergé sur HackerOne et est uniquement destiné à la divulgation coordonnée de potentielles vulnérabilités de sécurité dans les logiciels.

Règles du programme

  • Avertissez-nous dès que vous découvrez une potentielle faille de sécurité. N’essayez pas de prouver la vulnérabilité par vous-même.
  • Utilisez et accédez uniquement aux comptes et informations qui vous appartiennent.
  • Ne détruisez pas et ne modifiez pas de données qui ne vous appartiennent pas.
  • Ne portez pas atteinte à la performance des produits et services de Zoom ou de nos utilisateurs.
  • N’effectuez pas d’ingénierie sociale, d’attaques physiques ou de déni de service sur le personnel, les installations ou les actifs de Zoom.
  • Respectez les lignes directrices en matière de divulgation de HackerOne, la présente Politique de divulgation des vulnérabilités et les lois applicables.

Champ d’application

La présente politique s’applique aux produits, services et systèmes de Zoom. Veillez à toujours vérifier à qui appartiennent les actifs que vous testez dans le cadre de vos recherches.

Veuillez signaler les problèmes de Keybase à leur programme de recherche d’erreurs dédié sur HackerOne.

Les vulnérabilités trouvées dans les systèmes de fournisseurs ne relèvent pas du champ d’application de la présente politique et doivent être signalées directement aux fournisseurs via leurs propres programmes de divulgation.

Si vous n’êtes pas sûr de savoir si un système entre dans le champ d’application ou si avez besoin d’aide pour signaler une vulnérabilité découverte à un fournisseur, veuillez nous contacter à security@zoom.us. Nous sommes là pour vous aider !

Bouclier de protection

Les activités effectuées d’une manière conforme à la présente politique seront considérées comme un comportement autorisé et nous n’engagerons pas de poursuites judiciaires contre vous. Si des poursuites judiciaires étaient initiées à votre encontre par un tiers s'agissant d'activités effectuées dans le cadre de la présente politique, nous prendrons les mesures nécessaires pour faire savoir que vos actions ont été effectuées en conformité avec la présente politique.

Vulnérabilités hors du champ d’application

  • Attaques nécessitant un homme du milieu (MITM) ou un accès physique à l’appareil d’un utilisateur.
  • Bibliothèques de vulnérabilités déjà connues sans démonstration de faisabilité.
  • Détournement de clic sur des pages sans actions sensibles.
  • Falsification de requête intersites (CSRF) sur des formulaires non authentifiés ou des formulaires sans actions sensibles.
  • Injection de CSV (valeurs séparées par des virgules) sans démonstration d’une vulnérabilité.
  • Bonnes pratiques de configuration de SSL/TLS manquantes.
  • Toute activité qui pourrait conduire à la perturbation de notre service (DoS).
  • Problèmes d’usurpation de contenus ou d’injection de texte sans démonstration d’un vecteur d’attaque ou sans possibilité de modifier le code HTML ou CSS.
  • Problèmes de limitation du débit ou de « bruteforce » sur des terminaux ne servant pas à l'authentification.
  • Bonnes pratiques dans la Politique de sécurité des contenus manquantes.
  • Drapeaux HttpOnly ou sécurisés sur les cookies manquants.
  • Bonnes pratiques en matière d’e-mail manquantes (enregistrements SPF/DKIM/DMARC invalides incomplets ou manquants, etc.).
  • Vulnérabilités affectant uniquement des utilisateurs de navigateurs obsolètes ou non protégés (plus anciens que les deux versions stables d’avant la dernière version stable publiée).
  • Divulgation de version de logiciel/problèmes d’identification de bannière/messages ou titres d’erreur descriptifs (p. ex. erreurs de pile d’appels, d’application ou de serveur).
  • Les vulnérabilités de type « zero day » publiques qui ont été corrigées depuis moins d’un mois seront considérées au cas par cas.
  • Tabnabbing.
  • Redirection ouverte - à moins qu’un impact de sécurité supplémentaire puisse être démontré.

Comment signaler une vulnérabilité ?

Nous acceptons et diffusons les signalements de failles de sécurité effectués sur HackerOne.

Nous accuserons réception de votre signalement dans un délai d’un jour ouvré.

Ce que nous attendons de vous

Pour nous aider à classer et à résoudre les découvertes potentielles, un bon signalement de vulnérabilité doit :

  • décrire la vulnérabilité, le moment précis de sa découverte et son impact concret ;
  • offrir une description détaillée des étapes nécessaires pour reproduire la vulnérabilité (les POC, captures d’écran et vidéos sont utiles).
  • Veuillez inclure une seule vulnérabilité par signalement (sauf dans le cas d’une chaîne d’attaques).
  • Ne signalez pas de résultats provenant d'un scanner automatisé sans preuve d’exploitabilité.

Ce que vous pouvez attendre de nous

Lorsque vous choisissez de nous communiquer vos coordonnées, nous nous engageons à vous contacter de manière aussi transparente et rapide que possible.

  • Nous accuserons réception de votre signalement dans un délai d’un jour ouvré.
  • Nous ferons tout notre possible pour vous confirmer l’existence de la vulnérabilité et serons aussi transparents que possible concernant le processus de résolution, y compris les problèmes et défis qui pourraient retarder une résolution.
  • Nous maintiendrons un dialogue ouvert pour discuter des problèmes.

Admissibilité

Le programme de recherche d’erreurs de Zoom encourage les personnes compétentes à soumettre des signalements de vulnérabilité qui détaillent l’identification et l’exploitation des erreurs dans certains produits et services relevant du champ d’application. Dans certaines circonstances, Zoom octroie des récompenses monétaires ou primes aux chercheurs en sécurité qui ont soumis un signalement. Bien que nous appréciions tous les signalements reçus, seuls les chercheurs qui répondent aux critères suivants sont éligibles à la réception de primes :

  • Vous devez être le premier chercheur à soumettre un signalement concernant une faille donnée.
  • Vous devez avoir identifié cette vulnérabilité vous-même ou dans le cadre de votre travail dans une équipe de chercheurs tous compétents pour participer au programme de recherche d’erreurs de Zoom.
  • Vous ne devez pas être actuellement employé par Zoom, ses sociétés affiliées ou entités liées, ou l’avoir été au cours des 12 derniers mois.
  • Vous devez respecter la présente politique lorsque vous découvrez des vulnérabilités et lorsque vous soumettez un signalement de vulnérabilité.
  • Il ne doit pas exister de raison légale interdisant à Zoom de vous verser une prime.

Autres conditions

Votre participation au Programme de recherche d’erreurs de Zoom ne crée aucune relation d’emploi ou de partenariat entre vous et Zoom. Vous ne pouvez pas vous présenter comme un employé de Zoom ou comme quelqu’un d’affilié de quelque façon que ce soit à Zoom. Vous devez respecter toutes les lois applicables à votre participation à ce programme. Vous êtes responsable des éventuelles taxes applicables à toute prime ou récompense que vous recevez. Les signalements de vulnérabilité reçus avant le lancement de ce programme ne sont pas éligibles à des récompenses et ne peuvent pas être présentés à nouveau pour obtenir une récompense. Vous ne pouvez pas utiliser les logos, marques de commerce ou marques de service de Zoom sans autorisation écrite de Zoom. Zoom se réserve le droit de modifier la présente politique à tout moment et sans préavis, en publiant une version mise à jour du présent document. Zoom se réserve le droit de résilier ce programme à tout moment et sans préavis.

Propriété intellectuelle

Votre participation au Programme de recherche d’erreurs de Zoom ne vous accorde aucun droit à la propriété intellectuelle, aux produits ou aux services de Zoom, et n'accorde aucun de ces droits à un quelconque tiers. Tous les droits non accordés par ailleurs dans la présente politique sont expressément réservés par Zoom. Qu’une prime soit accordée ou non pour la soumission d’un signalement, vous cédez par la présente à Zoom tous droits, titres et intérêts, y compris tous droits de propriété intellectuelle, pour tous les signalements de vulnérabilité soumis. Vous déclarez par ailleurs que vous avez le droit de céder ces droits, titres et intérêts à Zoom pour les soumissions, et que votre participation au Programme de recherche d’erreurs de Zoom n'est pas contraire à un quelconque accord que vous pouvez avoir conclu avec tout autre tiers, tel que votre employeur.