Programme de divulgation des vulnérabilités

Dernière mise à jour : 21 mai 2020

Introduction

Les informations contenues sur cette page sont destinées aux chercheurs en sécurité, désireux de signaler de manière responsable les failles de sécurité à l’équipe de sécurité de Zscaler.

La sécurité exige une transformation, et il n’y a pas meilleure façon de transformer un programme de sécurité que de nous engager directement auprès de nos clients et utilisateurs. C’est cet engagement, associé à une profonde conviction en la collaboration avec la communauté de la sécurité, qui est la clé pour maintenir un environnement sécurisé pour tous nos utilisateurs. Si vous pensez avoir découvert une faille de sécurité sur ou dans un produit, service ou application Zscaler, nous vous encourageons vivement à nous en tenir informés le plus rapidement possible. Nous demandons que de tels rapports de vulnérabilité restent confidentiels et que les chercheurs ne les rendent pas publics avant que nous n’ayons résolu le problème.

En retour, nous travaillerons pour examiner les rapports et répondre en temps opportun. Notre chasseur de bogues partenaire, Bugcrowd, vous contactera dans un premier temps pour étudier votre contribution. Zscaler ne sollicitera pas de recours judiciaire ou d’application de la loi à votre encontre pour avoir identifié des problèmes de sécurité, à condition que vous (1) respectiez les politiques énoncées dans le présent document ; (2) respectiez les conditions standards de divulgation de Bugcrowd ; (3) ne compromettiez pas la sécurité ou la vie privée de nos utilisateurs ; (4) ne détruisiez pas les données sensibles que vous auriez pu recueillir auprès de Zscaler dans le cadre de vos recherches une fois les problèmes résolus ; et (5) acceptiez et respectiez les conditions de confidentialité de Zscaler ci-dessous.

Confidentialité

En vous engageant ou en participant et/ou en soumettant une vulnérabilité de sécurité à Zscaler, vous acceptez de respecter les dispositions suivantes en matière de confidentialité.

« Informations confidentielles » désigne (i) toutes les informations de Zscaler obtenues au cours des tests de sécurité ou par le biais de votre participation au Programme de divulgation de vulnérabilités de Zscaler, (ii) toutes les informations qui vous sont divulguées dans le cadre du dossier de chasseur de bogues Bugcrowd, et (iii) toutes vos soumissions. Aucun droit sur les Informations confidentielles ou la propriété intellectuelle de Zscaler ne vous est octroyé du fait de la réalisation de tests ou de la participation au Programme de divulgation de vulnérabilités de Zscaler.

Les Informations confidentielles n’incluent pas les informations qui (i) sont ou deviennent accessibles au public sans faute de votre part et sans violation des présentes dispositions, (ii) sont développées indépendamment sans utilisation ou référence aux Informations confidentielles, ou (iii) vous sont ou vous deviennent connues à partir d’une source non liée par des restrictions de confidentialité.

Avant de procéder à des tests ou de soumettre des résultats, vous acceptez (i) de préserver la confidentialité des Informations confidentielles, (ii) de protéger ces Informations confidentielles contre toute utilisation ou divulgation non autorisée, (iii) de ne pas divulguer ces Informations confidentielles à un tiers, y compris au public, (iv) de ne pas utiliser ces Informations confidentielles à des fins autres que la participation au Programme de divulgation des vulnérabilités de Zscaler, et (v) d’informer Zscaler dès la découverte de toute perte ou divulgation non autorisée d’Informations confidentielles. Nonobstant ce qui précède, vous pouvez divulguer les Informations confidentielles relatives à Zscaler à Zscaler ou à Bugcrowd via le portail partenaire Bugcrowd.

Merci pour votre aide !

Règles et Périmètre des Programmes de Vulnérabilités

Périmètre

Nous sommes principalement intéressés par les catégories de vulnérabilités suivantes :

  • Exposition de données sensibles – Cross Site Scripting (XSS) Stockés, Injection SQL (SQLi), etc.

  • Problèmes liés à l’authentification ou à la gestion de session.

  • Exécution de code à distance.

  • Vulnérabilités particulièrement intelligentes ou problèmes uniques qui ne correspondent pas à des catégories explicites - montrez-nous vos talents !

Hors Périmètre

Les catégories de vulnérabilité suivantes sont considérées comme hors de portée de notre programme de divulgation responsable et devraient être évitées par les chercheurs.

  • Déni de service (DoS) – Soit via le trafic réseau, l’épuisement des ressources ou autres

  • Énumération d'utilisateurs

  • Problèmes uniquement présents sur les anciens navigateurs / anciens plug-ins / navigateurs de logiciels en fin de vie

  • Hameçonnage ou ingénierie sociale des employés, utilisateurs ou clients de Zscaler

  • Systèmes ou problèmes liés à des technologies tierces utilisée par Zscaler

  • Divulgation de fichiers publics connus et autres divulgations d’informations qui ne constituent pas un risque important (par exemple : robots.txt)

  • Toute attaque ou vulnérabilité qui repose sur l’ordinateur d’un utilisateur déjà compromis

Veuillez noter que vous devez vous engager de manière responsable dans la recherche en matière de sécurité. Par exemple, si vous découvrez un mot de passe ou une clé exposés publiquement, vous ne devez pas utiliser la clé pour tester l’étendue d’accès qu’elle accorde ou pour télécharger ou exfiltrer des données afin de prouver qu’il s’agit d’une clé active. De même, si vous découvrez une injection SQL réussie, vous ne devez pas exploiter la vulnérabilité au-delà des étapes initiales nécessaires pour démontrer votre preuve de concept.

Une exfiltration ou un téléchargement excessifs des données Zscaler, ou un paiement en contrepartie de la destruction des données Zscaler, seront considérés en dehors du périmètre de ce programme, et Zscaler se réservera tous ses droits, recours et actions pour se protéger et protéger ses utilisateurs.

Pour quelle récompense ?

Si votre rapport de vulnérabilité affecte un produit ou un service dans le champ d’application, vous êtes également susceptible de percevoir une récompense. Si vous êtes un chercheur Bugcrowd, vous pouvez réclamer votre soumission ci-dessous pour obtenir des points de reconnaissance. Si vous souhaitez nous aider de manière plus dévouée en tant que chercheur en sécurité au sein de notre programme privé, veuillez contacter [email protected] en joignant votre demande et votre motivation.

Zscaler conserve l’entière discrétion pour déterminer quelles soumissions sont qualifiées pour recevoir une récompense.

Signaler une faille de sécurité

Veuillez utiliser le formulaire ci-dessous pour signaler les failles de sécurité à Zscaler via notre portail partenaire Bugcrowd. Zscaler évalue généralement les vulnérabilités sur la base du score CVSS.