Programme de divulgation de vulnérabilité

Dernière mise à jour : 15 août 2018

Introduction

Les informations sur cette page sont destinées aux chercheurs en sécurité, désireux de signaler de manière responsable les failles de sécurité à l'équipe de sécurité de Zscaler.

La sécurité nécessite une transformation, et il n'y a pas meilleure façon de transformer un programme de sécurité que de s'engager directement auprès de nos clients et utilisateurs. C'est cet engagement, associé à une profonde conviction en la collaboration avec la communauté de la sécurité, qui est la clé pour maintenir un environnement sécurisé pour tous nos utilisateurs. Si vous pensez avoir découvert une faille de sécurité sur ou dans un produit, service ou application Zscaler, nous vous encourageons vivement à nous en tenir informés le plus rapidement possible. Nous demandons que de tels rapports de vulnérabilité restent confidentiels et que les chercheurs ne les rendent pas publics avant que nous n'ayons résolu le problème.

En retour, nous travaillerons pour examiner les rapports et répondre en temps opportun. Notre chasseur de bogues partenaire, Bugcrowd, vous contactera dans un premier temps pour étudier votre contribution. Zscaler ne sollicitera pas de recours judiciaires ou d’application de la loi contre vous pour identifier les problèmes de sécurité, tant que vous (1) vous conformez aux politiques énoncées ici ; (2) vous conformez aux conditions standard de divulgation de Bugcrowd ; (3) ne compromettez pas la sécurité ou la vie privée de nos utilisateurs; et (4) ne détruisez pas les données sensibles que vous auriez pu recueillir auprès de Zscaler dans le cadre de votre recherche une fois les problèmes résolus.

Merci pour votre aide !

Règles et Périmètre des Programmes de Vulnérabilités

Périmètre

Nous souhaitons principalement entendre parler des catégories de vulnérabilité suivantes :

  • Exposition de données sensibles – Cross Site Scripting (XSS) Stockés, Injection SQL (SQLi), etc.
  • Problèmes liés à l'Authentification ou à la Gestion de session
  • Exécution de code à distance
  • Des vulnérabilités particulièrement intelligentes ou des problèmes uniques qui ne correspondent pas à des catégories explicites - montrez-nous vos talents !
Hors Périmètre

Les catégories de vulnérabilité suivantes sont considérées comme hors de portée de notre programme de divulgation responsable et devraient être évitées par les chercheurs.

  • Déni de service (DoS) – Soit via le trafic réseau, l'épuisement des ressources ou autres
  • Énumération d'utilisateurs
  • Problèmes uniquement présents sur les anciens navigateurs / anciens plug-ins / navigateurs de logiciels en fin de vie
  • Hammeçonnage ou ingénierie sociale des employés, utilisateurs ou clients de Zscaler
  • Systèmes ou problèmes liés à des technologies tierces utilisée par Zscaler
  • Divulgation de fichiers publics connus et autres divulgations d'informations qui ne constituent pas un risque important (par exemple : robots.txt)
  • Toute attaque ou vulnérabilité qui dépend de l’ordinateur d’un utilisateur déjà compromis

Veuillez noter que vous devez vous engager dans la recherche en matière de sécurité de manière responsable. Par exemple, si vous découvrez un mot de passe ou une clé exposés publiquement, vous ne devez pas utiliser la clé pour tester l'étendue d'accès qu'elle accorde ou pour télécharger ou exfiltrer des données afin de prouver qu'il s'agit d'une clé active. Pareillement, si vous découvrez une injection SQL réussie, vous ne devez pas exploiter la vulnérabilité au-delà des étapes initiales nécessaires pour démontrer votre preuve de concept.

Une exfiltration ou un téléchargement excessifs des données Zscaler, ou un paiement en contrepartie de la destruction des données Zscaler, seront considérés en dehors du périmètre de ce programme, et Zscaler se réservera tous ses droits, recours et actions pour se protéger et protéger ses utilisateurs.

Pour quelle récompense ?

Notre programme public ne fournit actuellement aucune récompense financière en dehors de l'éternelle gratitude de Zscaler. Si vous êtes un chercheur Bugcrowd, vous pouvez également soumettre votre contribution ci-dessous pour obtenir nos félicitations. Si vous souhaitez nous aider de manière plus approfondie en tant que chercheur en sécurité dans notre programme privé, veuillez contacter [email protected] avec votre demande et vos motivations.

À la discrétion exclusive de Zscaler, nous pouvons faire des exceptions à cette politique pour des contributions exceptionnelles.

Signaler une faille de sécurité

Veuillez s'il vous plaît utiliser ce formulaire pour signaler les failles de sécurité à Zscaler via notre portail partenaire Bugcrowd. Zscaler note généralement la vulnérabilité en fonction de la grille d'évaluation de la Taxonomie des Vulnérabilités de Bugcrowd.