Politique de Divulgation Responsable

Les informations de cette page sont destinées aux chercheurs en sécurité qui souhaitent informer l'équipe Akaoma de l'existence de failles de sécurité.

Si vous pensez avoir découvert une faille de sécurité dans une propriété, un site Web ou une application proposée par Akaoma, nous vous encourageons vivement à le signaler rapidement et à ne pas révéler la faille au public jusqu'à ce qu'elle soit corrigée.

Nous apprécions votre aide et nous nous efforçons de résoudre les vulnérabilités dans les meilleurs délais. Pour encourager la divulgation responsable, Akaoma ne prendra aucune mesure juridique contre vous et ne sollicitera aucun organisme chargé de l'application de la loi pour enquêter sur vous, tant que la divulgation respecte les instructions décrites ci-dessous.

Pour garantir une collaboration efficace et responsable, nous vous invitons à respecter les consignes suivantes :

1. Informez Akaoma et fournissez-nous les détails complets de la faille de sécurité. Accordez-nous un délai raisonnable pour corriger la vulnérabilité avant de la révéler au public.
2. Fournissez des informations détaillées sur la faille, incluant les URL ciblées, les paires de requêtes/réponses, des captures d'écran, et toute autre information utile permettant de reproduire le problème.
3. Nous confirmerons la réception de votre signalement par e-mail et évaluerons la validité et la reproductibilité du problème. Vous serez informé de l'avancement du traitement.
4. Faites votre possible pour éviter toute perturbation des services (par exemple, déni de service), toute faille de confidentialité (accès aux données d’un client Akaoma) ou destruction de données lors de vos recherches.
5. Ne demandez pas de compensation pour les rapports de failles de sécurité, ni à Akaoma, ni à des tiers.
6. Évitez toute pratique de hameçonnage ou de piratage psychologique envers les employés ou clients d’Akaoma.
7. Ne transmettez pas de rapports générés exclusivement par des outils d'analyse automatisés sans avoir validé la présence effective du problème, afin d'éviter les faux positifs.

Nous sommes principalement intéressés par les catégories de failles de sécurité suivantes :

• Cross-Site Scripting (XSS).
• Falsification de requête intersite (CSRF).
• Problèmes d’authentification.
• Problèmes d’autorisation.
• Compromission de données.
• Attaques de redirection.
• Exécution de code à distance.
• Techniques d’exploitation de failles particulièrement difficiles ou uniques ne correspondant pas à une catégorie explicite.

Certaines catégories de failles ne sont pas prises en compte dans le cadre de notre programme de divulgation responsable. Les rapporteurs de ces failles ne seront pas inclus dans notre liste officielle de chercheurs. Ces catégories incluent :

• Failles de protocole SSL liées à la configuration ou à la version.
• Attaques par déni de service (DoS).
• Énumération des utilisateurs.
• Attaques par force brute.
• Indicateur sécurisé ou HTTPOnly non défini sur des cookies non sensibles.
• Déconnexion par falsification de requête intersite (CSRF).
• Problèmes affectant uniquement des navigateurs ou logiciels obsolètes ou en fin de vie.
• Méthode HTTP TRACE activée.
• Rapports de failles basés sur des numéros de version déclarés des serveurs ou frameworks.
• Clickjacking sur des pages sans authentification ou ne provoquant pas de changements d’état sensibles.
• Rapports nécessitant des actions improbables ou excessives de la part des utilisateurs, telles que désactiver des fonctions de sécurité du navigateur ou entrer volontairement des codes malveillants.

Si vous identifiez une faille de sécurité, veuillez nous contacter par l’un des moyens suivants :

• Envoyez un e-mail à audit [at] akaoma.com en incluant toutes les informations pertinentes.
• Utilisez notre formulaire d’identification de failles de sécurité et vulnérabilités disponible sur notre site Web.

Notre équipe examinera votre signalement dans les meilleurs délais et vous tiendra informé de la progression.

À ce jour, aucune remontée significative n’a été communiquée. Nous remercions néanmoins tous les chercheurs qui œuvrent pour renforcer la sécurité des services et applications d’Akaoma.