Signaler un décès?: 078 05 05 78 Autres questions?: 02 800 87 87
Chercher
Trouvez un courtier
NL FR
Chercher

Contact

Customer Service 02 800 87 87
Signaler un décès? 078 05 05 78
NL FR

Vous avez identifié un problème de sécurité ? Nous vous récompensons !

DELA accorde une grande importance à la sécurité et à la vie privée des utilisateurs tels que vous. Nous avons conscience des risques de sécurité et nous nous efforçons de protéger nos systèmes au mieux. Vous repérez malgré tout une faille ? Signalez-la-nous, afin que nous puissions continuer à garantir votre sécurité et celle des autres utilisateurs.

Attention : cette politique de signalement responsable ne vous autorise pas à pirater activement nos systèmes pour déceler des failles.

Découvrez de précédents signalements

Raccourcis

Que puis-je signaler ?

Exemples de failles à signaler :

  • absence de connexion sécurisée ;
  • cross-site scripting (XSS) ;
  • injection SQL.

Vous avez repéré l’une de ces failles ? Il suffit souvent de nous communiquer l’adresse IP ou l’URL. Faites-nous part de vos observations et/ou des actions que vous effectuiez quand vous avez découvert la faille. Le problème est plus complexe ? Nous prendrons peut-être contact avec vous pour obtenir de plus amples informations.

Vous avez découvert un problème sérieux ? Nous vous récompensons. Lisez le point « Conditions de récompense » pour connaître le principe et les règles précises du système.

Nous n’offrons toutefois pas toujours de récompense, notamment lorsqu’il s’agit d’une faille dont nous avions déjà connaissance ou dont nous acceptons le risque. Exemples :

  • codes HTTP 404 ou autres codes non-HTTP 200 ;
  • texte non chiffré sur les pages 404 ;
  • absence de drapeaux « secure »/« HTTP Only » sur les cookies non sensibles ;
  • utilisation de la méthode HTTP OPTIONS ;
  • absence d’un ou de plusieurs en-têtes de sécurité HTTP ;
  • absence d’enregistrements SPF, DKIM et DMARC ;
  • absence de DNSSEC ;
  • bannières de version sur les services publics ;
  • injection d’en-tête d’hôte ;
  • fichiers et dossiers accessibles au public contenant des informations non confidentielles ;
  • clickjacking sur des pages sans fonction de connexion ;
  • cross-site request forgery (CSRF) sur des formulaires accessibles de manière anonyme ;
  • failles DDOS ;
  • faille de rate limiting sans impact clair ;
  • problèmes de certificats de sécurité (certificats SSL).

Que ne puis-je pas signaler ?

Cette politique de signalement responsable ne s’applique pas aux signalements de plaintes. Elle ne vaut pas non plus pour le signalement :

  • de virus ;
  • d’e-mails de phishing ;
  • d’une indisponibilité de nos sites web ;
  • d’un cas de fraude.

Je souhaite signaler une faille

Votre signalement fait toute la différence pour notre sécurité. Commencez par chiffrer votre signalement avec la clé PGP ci-dessous, puis envoyez-le.

Clé PGPSignaler une faille

Règles

  • Ne partagez vos observations qu’avec nous et ne les rendez pas publiques, même si le traitement vous semble long. Nous avons parfois besoin d’un peu de temps pour résoudre le problème.
  • N’utilisez pas d’outils automatisés pour identifier des problèmes de sécurité.
  • N’abusez pas du problème : ne téléchargez pas plus de données que nécessaire pour démontrer la fuite et ne modifiez ni ne supprimez aucune information. Soyez particulièrement prudent lorsqu’il est question de données à caractère personnel.
  • Ne partagez pas les informations que vous avez trouvées.
  • Ne nous envoyez que les données (strictement) nécessaires pour démontrer le problème (par ex. via directory listing ou une capture d’écran).
  • N’utilisez aucun moyen détourné pour démontrer un problème de sécurité. Vous pourriez faire pire que mieux et faire naître des risques de sécurité inutiles.

Vos investigations pourraient vous amener à enfreindre la loi. Nous ne vous dénoncerons pas si vous agissez en toute bonne foi, avec soin et conformément aux règles ci-dessus.

Qu’adviendra-t-il après mon signalement ?

Nous vous informerons dans les trois jours ouvrables du traitement dont fera l’objet votre signalement. Nous n’utiliserons vos coordonnées que pour communiquer avec vous à propos du signalement et nous ne les partagerons avec personne, sauf si la loi nous y oblige. Par exemple, si la justice nous le demande ou si nous constatons que vous n’avez pas agi de bonne foi (si vous avez commis un délit) et que nous sommes donc contraints de le signaler aux services de police.

Les signalements anonymes ne seront pas récompensés.

Conditions de récompense

Il s’agit d’un grave problème de sécurité dont nous n’avions pas encore connaissance ? Nous tenons à vous remercier en vous offrant un ou plusieurs chèques-cadeaux (d’une valeur de 300 € maximum) et notre éternelle reconnaissance avec une mention dans notre « Hall of Fame ». Le montant des chèques-cadeaux dépend du risque et de l’impact du problème de sécurité identifié.

Nous nous efforçons d’accorder une récompense similaire aux problèmes similaires. La mention dans notre Hall of Fame peut se faire avec votre nom ou sous un pseudonyme (normal). Si vous le souhaitez, nous pouvons ajouter un lien vers votre profil LinkedIn ou X (pas Facebook ni Instagram).

Attention : si nous estimons qu’il ne s’agit pas d’un problème de sécurité ou que le risque est faible et/ou acceptable, nous n’offrons aucune récompense.

En cas de signalements multiples, nous récompensons la première personne qui a signalé le problème.

britse vlagEnglish