ºÚÁÏÉç

Divulgation de vuln¨¦rabilit¨¦

Conditions

Divulgation de vuln¨¦rabilit¨¦
Date de derni¨¨re mise ¨¤ jour?:
28?juin?2024

Introduction

La pr¨¦sente politique de divulgation de vuln¨¦rabilit¨¦ (la ??Politique??) s¡¯applique ¨¤ l¡¯int¨¦gralit¨¦ des vuln¨¦rabilit¨¦s que vous envisagez de signaler ¨¤ Arctic Wolf (l¡¯??Organisation??), pour autant que le domaine soit r¨¦pertori¨¦ dans la liste des domaines concern¨¦s ci-apr¨¨s. Cette politique int¨¨gre par r¨¦f¨¦rence les termes et conditions contenus dans les conditions d'utilisation et l'avis de confidentialit¨¦ d'Arctic Wolf. En participant ¨¤ la recherche de vuln¨¦rabilit¨¦s de quelque mani¨¨re que ce soit, vous acceptez les termes de cette politique. Si vous n'¨ºtes pas d'accord, vous ne pouvez pas participer.

Avant de tenter de trouver des vuln¨¦rabilit¨¦s de s¨¦curit¨¦ ou de nous signaler une vuln¨¦rabilit¨¦, vous devez lire cette politique dans son int¨¦gralit¨¦ et toujours agir en conformit¨¦ avec elle.

L'Organisation se r¨¦serve le droit de modifier ou de mettre fin aux termes de cette politique ¨¤ tout moment. Veuillez consulter r¨¦guli¨¨rement cette politique car nous mettons r¨¦guli¨¨rement ¨¤ jour les conditions et l'¨¦ligibilit¨¦ de nos programmes, qui entrent en vigueur d¨¨s leur publication. Nous appr¨¦cions ceux qui prennent le temps et les efforts pour signaler les vuln¨¦rabilit¨¦s de s¨¦curit¨¦ conform¨¦ment ¨¤ cette politique. Cependant, nous n'offrons pas de r¨¦compenses pour les divulgations de vuln¨¦rabilit¨¦s.

Signalement

Si vous pensez avoir d¨¦couvert une vuln¨¦rabilit¨¦ de s¨¦curit¨¦ li¨¦e au syst¨¨me de l'organisation, veuillez soumettre un rapport de vuln¨¦rabilit¨¦ ¨¤ l'adresse d¨¦finie dans le champ CONTACT du fichier security.txt publi¨¦. Ne contactez pas Arctic Wolf par d¡¯autres canaux que ceux indiqu¨¦s dans notre fichier security.txt.

Les employ¨¦s d¡¯Arctic Wolf, les sous-traitants d¡¯Arctic Wolf, les fournisseurs d¡¯Arctic Wolf ou toute personne li¨¦e ou autrement affili¨¦e aux employ¨¦s, sous-traitants ou fournisseurs d¡¯Arctic Wolf ne peuvent pas participer ¨¤ ce programme.

Note?: Arctic Wolf se r¨¦serve le droit de bloquer les tentatives qui enfreignent les r¨¨gles de ce programme. Par exemple, un trafic excessif peut entra?ner un blocage automatique.

Dans votre rapport, veuillez inclure des d¨¦tails sur?:

  • Le site Web, l'adresse IP ou la page sur laquelle la vuln¨¦rabilit¨¦ peut ¨ºtre observ¨¦e?;
  • Une br¨¨ve description du type de vuln¨¦rabilit¨¦, par exemple ??Vuln¨¦rabilit¨¦ XSS???;
  • Veillez ¨¤ ne fournir que les informations n¨¦cessaires pour que nous puissions reproduire vos r¨¦sultats. Fournissez des exemples et des preuves de concepts fonctionnelles. Ceux-ci doivent ¨ºtre anodins et ne pas entra?ner de destruction. Cela permet de s¡¯assurer que le rapport peut ¨ºtre tri¨¦ rapidement et de mani¨¨re appropri¨¦e. Cela r¨¦duit ¨¦galement le risque de rapports en double ou d'exploitation malveillante de certaines vuln¨¦rabilit¨¦s, telles que les rachats de sous-domaines.

Apr¨¨s avoir soumis votre rapport, nous nous effor?ons d¡¯y r¨¦pondre le plus rapidement possible. La priorit¨¦ des mesures correctives est ¨¦valu¨¦e en fonction de l¡¯impact, de la gravit¨¦ et de la complexit¨¦ de la vuln¨¦rabilit¨¦. Le tri ou le traitement des rapports de vuln¨¦rabilit¨¦ peut prendre un certain temps. Nous vous demandons simplement de nous accorder un d¨¦lai raisonnable (au moins 90?jours ¨¤ compter du rapport initial) pour r¨¦pondre au probl¨¨me. Cela permet ¨¤ nos ¨¦quipes de se concentrer sur la rem¨¦diation. Nous vous informerons lorsque la vuln¨¦rabilit¨¦ signal¨¦e sera corrig¨¦e et vous pourrez ¨ºtre invit¨¦ ¨¤ confirmer que la solution couvre la vuln¨¦rabilit¨¦ de mani¨¨re ad¨¦quate.

°ä´Ç²Ô´Ú¾±»å±ð²Ô³Ù¾±²¹±ô¾±³Ù¨¦

Vous acceptez de pr¨¦server la confidentialit¨¦ de toutes les soumissions et de ne divulguer aucune soumission ou partie de celle-ci (y compris, mais sans s¡¯y limiter, toute vuln¨¦rabilit¨¦ ou tout retour d¡¯information) ¨¤ une tierce partie. Vous ne devez pas tenter d¡¯acc¨¦der aux fichiers, informations personnelles ou autres donn¨¦es de l¡¯Organisation (ou de ses employ¨¦s, clients, sous-traitants ou prestataires de services). L¡¯Organisation n¡¯est pas tenue de pr¨¦server la confidentialit¨¦ des informations communiqu¨¦es.

Conseils

Vous ne devez PAS?:

  • enfreindre toute loi ou r¨¦glementation applicable?;
  • acc¨¦der ¨¤ des quantit¨¦s de donn¨¦es inutiles, excessives ou importantes?; fournir uniquement une simple preuve de concept avec le moins d¡¯exfiltration de donn¨¦es?;
  • affecter la disponibilit¨¦, l¡¯int¨¦grit¨¦ ou la confidentialit¨¦ de toute information ou donn¨¦e sensible, personnelle ou non publique?;
  • utiliser des outils d'analyse de haute intensit¨¦, invasifs ou destructeurs pour d¨¦tecter les vuln¨¦rabilit¨¦s?;
  • soumettre des rapports d¨¦taillant les vuln¨¦rabilit¨¦s non exploitables, ou des rapports indiquant que les services ne sont pas enti¨¨rement conformes aux ??meilleures pratiques??, par exemple des en-t¨ºtes de s¨¦curit¨¦ manquants?;
  • communiquer toute vuln¨¦rabilit¨¦ ou d¨¦tails associ¨¦s autrement que par les moyens d¨¦crits dans le fichier security.txt ±è³Ü²ú±ô¾±¨¦?;
  • Ing¨¦nierie sociale, ??phishing?? ou attaquer physiquement le personnel ou l'infrastructure de l'Organisation?;
  • utiliser un ??robot??, ??spider?? ou tout autre dispositif, programme, script, algorithme ou m¨¦thodologie automatique, ou tout processus manuel similaire ou ¨¦quivalent, pour acc¨¦der ¨¤, acqu¨¦rir ou copier des vuln¨¦rabilit¨¦s?;
  • soumettre toute soumission r¨¦pertori¨¦e dans la section ??Vuln¨¦rabilit¨¦s non concern¨¦es/meilleures pratiques???;
  • exiger une compensation financi¨¨re afin de r¨¦v¨¦ler toute vuln¨¦rabilit¨¦?;
  • divulguer les vuln¨¦rabilit¨¦s ou le contenu des signalements ¨¤ des tiers (y compris tout support ou publication) sans l¡¯accord ¨¦crit pr¨¦alable de l¡¯Organisation, au cas par cas.

Vous devez?:

  • d¨¦ployer des efforts de bonne foi pour ¨¦viter les violations de la vie priv¨¦e, la destruction des donn¨¦es et l¡¯interruption ou la d¨¦gradation de notre service?; interagir uniquement avec les comptes que vous poss¨¦dez ou avec l'autorisation explicite du titulaire du compte?;
  • toujours vous conformer aux r¨¨gles de protection des donn¨¦es et respecter la confidentialit¨¦ de toutes les donn¨¦es d¨¦tenues par l¡¯Organisation?;
  • prot¨¦ger toutes les donn¨¦es t¨¦l¨¦charg¨¦es et les d¨¦tails de vuln¨¦rabilit¨¦ contre toute divulgation, sauf dans les cas pr¨¦vus dans cette politique?;
  • supprimer de mani¨¨re appropri¨¦e toutes les donn¨¦es obtenues dans le cadre de votre recherche d¨¨s qu¡¯elles ne sont plus n¨¦cessaires ou dans un d¨¦lai d¡¯un mois ¨¤ compter de la r¨¦solution de la vuln¨¦rabilit¨¦, selon la premi¨¨re ¨¦ventualit¨¦ (ou selon les exigences des lois et r¨¦glementations en mati¨¨re de protection des donn¨¦es)?;
  • soumettre les ¨¦tapes de reproduction d¨¦taill¨¦es (les rapports bas¨¦s uniquement sur les r¨¦sultats d'un outil/scanner automatis¨¦ ou qui d¨¦crivent des vecteurs d'attaque th¨¦oriques sans preuve d'exploitabilit¨¦ ne peuvent pas ¨ºtre accept¨¦s)?;
  • communiquer toute divulgation par l¡¯interm¨¦diaire des canaux d¨¦crits dans le pr¨¦sent document.

Aspects prioritaires?:

  • ?l¨¦vation de privil¨¨ges (horizontale ou verticale)?;
  • SQL ou injection de commandes?;
  • Cross-site scripting?;
  • Ex¨¦cution de code ¨¤ distance?;
  • Cross-site request forgery?;
  • Divulgation d'information?;
  • D¨¦cisions de s¨¦curit¨¦ via des entr¨¦es non fiables.

Domaines concern¨¦s

analytics.us001-prod.arcticwolf.net
dashboard.arcticwolf.com
docs.arcticwolf.com
eloc.global-prod.arcticwolf.net
portal.arcticwolf.com
prp.prp.prod.global-prod.arcticwolf.net
rendall.us001-prod.arcticwolf.net
risk.artcicwolf.com
services.risk.us001-prod.arcticwolf.net
 cyberjumpstart.arcticwolf.com
td-classic.arcticwolf.com
cyberjumpstart-reg.arcticwolf.com/cjs/m3

Vuln¨¦rabilit¨¦s non concern¨¦es/meilleures pratiques

  • Vuln¨¦rabilit¨¦s sur les syst¨¨mes qui n'appartiennent pas et ne sont pas exploit¨¦s par Arctic Wolf, y compris les services tiers utilis¨¦s par Arctic Wolf?;
  • Vuln¨¦rabilit¨¦s de d¨¦ni de service?;
  • Vuln¨¦rabilit¨¦s par force brute?;
  • Les vuln¨¦rabilit¨¦s n¨¦cessitent l¡¯utilisation de navigateurs obsol¨¨tes/d¡¯anciens plugins/navigateurs de logiciels en fin de vie?;
  • Vuln¨¦rabilit¨¦s qui n¨¦cessitent un acc¨¨s physique ¨¤ l'appareil d'un utilisateur?;
  • Informations non sensibles disponibles via notre r¨¦seau de diffusion de contenu ou des sites Web publics?;
  • Contr?les de s¨¦curit¨¦ suppl¨¦mentaires manquants, tels que les en-t¨ºtes HSTS ou CSP qui n'entra?nent pas directement de vuln¨¦rabilit¨¦s?;
  • Cookies manquant d'indicateurs de s¨¦curit¨¦ (pour les cookies non sensibles)?;
  • Vuln¨¦rabilit¨¦s de type d¨¦tournement de clic?;
  • Exposition de la banni¨¨re/divulgation de la version?;
  • Pr¨¦sence d¡¯un attribut d¡¯autocompl¨¦tion sur les formulaires Web?;
  • Contr?les de s¨¦curit¨¦ suppl¨¦mentaires manquants qui n'entra?nent pas directement de vuln¨¦rabilit¨¦s, souvent consid¨¦r¨¦s comme des ??meilleures pratiques??, tels que l'¨¦pinglage de certificats, l'att¨¦nuation des divulgations d'informations, la configuration SPF ou DMARC, les suites de chiffrement TLS?;
  • Vuln¨¦rabilit¨¦s de l¡¯infrastructure et du mat¨¦riel.

Dispositions l¨¦gales

Cette politique est con?ue pour ¨ºtre compatible avec les bonnes pratiques courantes en mati¨¨re de divulgation des vuln¨¦rabilit¨¦s. Il ne vous autorise pas ¨¤ agir d'une mani¨¨re incompatible avec la loi ou qui pourrait amener l'Organisation ou les organisations partenaires ¨¤ violer des obligations l¨¦gales.

Licence de soumission

En soumettant vos travaux de recherche ¨¤ l¡¯Organisation, vous lui accordez une licence non exclusive, irr¨¦vocable, perp¨¦tuelle, libre de droits, int¨¦gralement pay¨¦e, internationale et pouvant faire l¡¯objet d¡¯une sous-licence sur la propri¨¦t¨¦ intellectuelle de votre soumission, ¨¤ toutes les fins pour lesquelles l¡¯Organisation peut l¡¯utiliser.

Vous acceptez de signer tout document qui pourrait ¨ºtre requis pour nous ou nos d¨¦l¨¦gu¨¦s pour confirmer les droits que vous avez accord¨¦s ci-dessus, et vous comprenez qu'aucune compensation ou aucun cr¨¦dit ne vous est garanti pour l'utilisation de votre soumission.

En soumettant vos travaux de recherche ¨¤ l¡¯Organisation, vous d¨¦clarez et garantissez que votre contribution est le fruit de votre propre travail et que vous avez l¨¦galement le droit de soumettre ces travaux ¨¤ l¡¯Organisation.

Safe Harbor

Notre Safe Harbor soutient la protection des organisations et des individus engag¨¦s dans la recherche de vuln¨¦rabilit¨¦ conform¨¦ment ¨¤ cette politique.

Nous consid¨¦rons que les recherches de vuln¨¦rabilit¨¦ men¨¦es de bonne foi pour se conformer ¨¤ notre politique sont des activit¨¦s autoris¨¦es prot¨¦g¨¦es contre toute action juridique contradictoire de notre part. Nous renon?ons ¨¤ toute restriction pertinente dans nos Conditions de service et/ou nos Politiques d¡¯utilisation acceptable qui entrerait en conflit avec la norme relative ¨¤ la recherche de bonne foi en mati¨¨re de s¨¦curit¨¦ d¨¦crite ici.

Nous consid¨¦rons que les recherches de vuln¨¦rabilit¨¦ men¨¦es de bonne foi dans un souci de conformit¨¦ avec notre Politique constituent une activit¨¦ autoris¨¦e au regard de toutes les lois anti-piratage applicables, y compris le Consumer Fraud and Abuse Act (CFAA) et le Digital Millennium Copyright Act (DMCA), et nous n¡¯engagerons ni ne soutiendrons aucune action en justice ¨¤ votre encontre au titre de ces lois.

Si la recherche est men¨¦e conform¨¦ment ¨¤ notre politique, l¡¯organisation?:

  • n¡¯engagera pas de poursuites judiciaires contre vous ni ne vous d¨¦noncera, y compris pour avoir contourn¨¦ les mesures technologiques que nous utilisons pour prot¨¦ger les applications concern¨¦es?; et,
  • prendra des mesures pour faire savoir que vous avez men¨¦ des recherches de bonne foi en mati¨¨re de s¨¦curit¨¦ si des poursuites sont engag¨¦es contre vous par une tierce personne.

Si vous avez des questions ou avez besoin de pr¨¦cisions sur notre politique, veuillez nous contacter avant de vous engager dans une conduite qui pourrait ¨ºtre incompatible avec cette politique.

Comme toujours, vous ¨ºtes cens¨¦ vous conformer ¨¤ toutes les lois applicables. Si une action en justice est engag¨¦e par un tiers ¨¤ votre encontre et que vous avez respect¨¦ la pr¨¦sente Politique, nous prendrons des mesures pour faire savoir que vos actions ont ¨¦t¨¦ men¨¦es dans le respect de la pr¨¦sente politique.

Veuillez noter que l¡¯Organisation n¡¯est pas en mesure d¡¯autoriser des recherches de s¨¦curit¨¦ sur une infrastructure tierce, et qu¡¯aucun tiers n¡¯est li¨¦ par ce Safe Harbor.

Toute recherche de vuln¨¦rabilit¨¦ en violation de cette politique n¡¯est pas couverte par ce Safe Harbor. L'Organisation se r¨¦serve tous les droits et recours l¨¦gaux disponibles en vertu de la loi.

La pr¨¦sente Politique ne vous autorise pas ¨¤ acc¨¦der intentionnellement aux donn¨¦es de l¡¯entreprise ou aux donn¨¦es du compte d¡¯une autre personne sans son consentement expr¨¨s, y compris (mais sans s¡¯y limiter) les informations ou donn¨¦es personnelles telles que d¨¦finies par les lois applicables ou les donn¨¦es relatives ¨¤ une personne physique identifi¨¦e ou identifiable.

¸é±ð²õ±è´Ç²Ô²õ²¹²ú¾±±ô¾±³Ù¨¦

VOUS ASSUMEZ L¡¯ENTI?RE RESPONSABILIT? ET LES RISQUES ASSOCI?S ? VOTRE PARTICIPATION ? LA RECHERCHE DE VULN?RABILIT?. EN AUCUN CAS L¡¯ORGANISATION (OU L¡¯UN DE SES DIRIGEANTS, ADMINISTRATEURS, ACTIONNAIRES, EMPLOY?S, FILIALES, SOCI?T?S AFFILI?ES, AGENTS OU ANNONCEURS) NE POURRA ?TRE TENUE RESPONSABLE DE TOUT DOMMAGE INDIRECT, ACCESSOIRE, SP?CIAL, PUNITIF, EXEMPLAIRE OU CONS?CUTIF, DE TOUTE PERTE DE B?N?FICES OU DE TOUT DOMMAGE D? ? UNE PERTE DE DONN?ES, UNE PERTE D¡¯OPPORTUNIT? D¡¯EMPLOI OU ? UNE INTERRUPTION D¡¯ACTIVIT? R?SULTANT OU D?COULANT DE VOTRE PARTICIPATION OU DE LA PR?SENTE POLITIQUE.

EN AUCUN CAS L¡¯ORGANISATION (OU L¡¯UN DE SES DIRIGEANTS, ADMINISTRATEURS, ACTIONNAIRES, EMPLOY?S, FILIALES, SOCI?T?S AFFILI?ES, AGENTS OU ANNONCEURS) NE POURRA ?TRE TENUE RESPONSABLE DE DOMMAGES DONT LE MONTANT TOTAL EXC?DERAIT 200,00?DOLLARS AM?RICAINS.

Mesure d'injonction

Une violation de votre part de la pr¨¦sente Politique peut entra?ner des dommages irr¨¦parables et continus ¨¤ l¡¯Organisation, pour lesquels les dommages-int¨¦r¨ºts ne suffisent pas, et l¡¯Organisation a droit ¨¤ une injonction et/ou ¨¤ un d¨¦cret d¡¯ex¨¦cution sp¨¦cifique et ¨¤ toute autre mesure appropri¨¦e (y compris des dommages-int¨¦r¨ºts, le cas ¨¦ch¨¦ant) sans qu¡¯il soit n¨¦cessaire de d¨¦poser une caution.

Indemnisation

Vous acceptez d'indemniser et de d¨¦gager l'Organisation de toute responsabilit¨¦ pour toute perte ou dommage subi ¨¤ la suite de toute violation de cette politique, y compris les honoraires d'avocat raisonnables et les frais engag¨¦s par l'Organisation.

Loi applicable et juridiction

Le pr¨¦sent accord sera r¨¦gi ¨¤ tous ¨¦gards par les lois des ?tats-Unis d'Am¨¦rique et par les lois de l'?tat du Delaware, ?tats-Unis, sans ¨¦gard aux principes de conflits de lois. Vous reconnaissez irr¨¦vocablement la comp¨¦tence personnelle exclusive des tribunaux f¨¦d¨¦raux et d¡¯?tats situ¨¦s dans le Delaware.

Modifications des pr¨¦sentes conditions

Nous pouvons modifier les termes de cette politique ¨¤ tout moment. Nous publierons toute modification sur notre site Web et indiquerons la date d¡¯entr¨¦e en vigueur de la mise ¨¤ jour. Si vous n'acceptez pas la nouvelle politique, vous ne devez pas y participer.

Contact

Tel que d¨¦fini dans le fichier security.txt.