Chez EVBox, la sécurité de nos produits et services est une priorité absolue. Cependant, malgré tous nos efforts pour garantir cette sécurité, il peut toujours exister des vulnérabilités.

Si vous découvrez une vulnérabilité, nous souhaitons en être informés afin de pouvoir y remédier le plus rapidement possible. Nous vous invitons à nous aider à mieux protéger nos clients et nos systèmes.

Veuillez suivre les instructions suivantes :

  • Envoyez vos constatations par e-mail à security@evbox.com.
  • Ne tirez pas profit de la vulnérabilité ou du problème que vous avez découvert, par exemple en téléchargeant plus de données que nécessaire pour démontrer la faille, ou en supprimant ou modifiant les données d’autres personnes.
  • Ne divulguez pas le problème à d’autres avant qu’il n’ait été résolu.
  • N’utilisez pas d’attaques basées sur la sécurité physique, l’ingénierie sociale, les attaques par déni de service distribué (DDoS), le spam ou les applications tierces.
  • Fournissez suffisamment d’informations pour reproduire le problème, afin que nous puissions le résoudre le plus rapidement possible. En général, l’adresse IP ou l’URL du système concerné et une description de la vulnérabilité suffisent, mais les vulnérabilités complexes peuvent nécessiter des explications supplémentaires.
  • Fournissez une preuve de concept. Sans preuve raisonnable que votre découverte peut être exploitée, nous ne pourrons pas traiter votre signalement.

Ce que nous vous garantissons :

  • Nous répondrons à votre rapport dans un délai de 3 jours ouvrables, avec notre évaluation et une date estimée de résolution.
  • Si vous avez suivi les instructions ci-dessus, aucune action en justice ne sera engagée contre vous en lien avec votre signalement.
  • Nous traiterons votre rapport en toute confidentialité et ne communiquerons pas vos données personnelles à des tiers sans votre accord.
  • Nous vous tiendrons informé de l’avancement de la résolution du problème.
  • Dans les informations publiques concernant le problème signalé, nous mentionnerons votre nom en tant que découvreur (sauf si vous préférez rester anonyme).
  • EVBox ne verse actuellement pas de récompense financière pour les découvertes.

Nous nous efforçons de résoudre tous les problèmes aussi rapidement que possible et souhaitons jouer un rôle actif dans la publication finale du problème une fois qu’il aura été résolu.

Attribution : Cette politique est une adaptation du document Responsible Disclosure de Floor Terra.