Divulgation Responsable

Pour assurer une banque sécurisée pour nos clients, nous améliorons continuellement nos systèmes et processus pour maintenir leur fiabilité. Cependant si vous remarquez une vulnérabilité dans un de nos systèmes, faites-le nous savoir.

 

Travailler avec nous pour trouver une solution

Tout le monde peut faire des erreurs et cela peut aussi nous arriver. Si vous divulguez publiquement des vulnérabilités de nos systèmes informatique sans nous faire part en premier, ceci peut avoir des conséquence sérieuses. Des criminels peuvent utiliser ces informations pour commettre des fraudes par exemple. Afin de prévenir cela, nous vous demandons de nous contacter et nous aider à trouver une solution. Nous pourrons alors, ensemble, prendre des mesures pour éviter des fraudes et des pannes de nos systèmes.

 

Signaler des vulnérabilités

Que pouvez-vous signaler ?

Vous pouvez signaler autant de vulnérabilités sur nos systèmes informatiques que possible. Si vous identifiez une vulnérabilité, merci de nous contacter dès que possible.

Par exemple:

  • Cross-Site Scripting vulnerabilities (i.e. Stored, Reflected);
  • SQL Injection vulnerabilities;
  • Encryption weaknesses;
  • Remote Code Execution;
  • Authentication Bypass, Unauthorized data access;
  • XML External Entity;
  • S3 Bucket Upload;
  • Server-Side Request Forgery

Ce qui ne sera pas accepté

  • "Self" XSS;
  • HTTP Host Header XSS without working proof-of-concept;
  • Incomplete/Missing SPF/DKIM;
  • Social Engineering attacks;
  • Denial of Service attacks.

Les règles

Voici les règles pour assurer une divulgation responsable :

  1. Être responsable et prudent
  2. Utiliser les méthodes strictement nécessaires pour trouver ou identifier les vulnérabilités
  3. S’assurer que vos propres systèmes sont protégés du mieux possible
  4. Utiliser les vulnérabilités que vous avez identifiées pour vos propres investigations et jamais pour une autre finalité
  5. Ne pas utiliser d’ingénierie sociale ou d’attaque par force brute pour obtenir l’accès au système
  6. Ne pas installer de porte dérobée dans un système, même dans l’intention de démontrer la vulnérabilité car une porte dérobée rend le système encore plus risqué
  7. Ne pas changer ou supprimer des détails sur le système
  8. Ne jamais copier plus de données que nécessaire. Si un enregistrement est suffisant pour votre investigation, ne pas en copier davantage.
  9. Ne pas pénétrer un système plus souvent que nécessaire
  10. Ne pas partager l’accès que vous avez obtenu à d’autres

Comment signaler une vulnérabilité ?

A) Fournir les informations suivantes dans un document de votre choix

1. Quel est le domaine concerné par votre rapport ?

2. Pouvez-vous décrire les étapes réalisées ?

3. Quels sont les objets utilisés (ex. champs input ou filtres) ?

4. Quelle est l'URL complète ?

5. Pouvez-vous ajouter une capture d'écran de l'action réalisée avec succès ?

6. Quel navigateur et quelle version utilisez-vous ?

7. Quel système d'exploitation utilisez-vous ?

8. Quel programme, script ou code avez-vous utilisé ?

9. Quels sont vos nom, prénom, e-mail et numéro de téléphone ?

B) Chiffrer votre rapport avec la clé PGP ID 0x576934A2

C) Envoyer le rapport à l’adresse : responsible.disclosure@fr.abnamro.com

Ce qui arrivera à votre rapport

 

Nous allons vous contacter

Une équipe d’experts en sécurité sera en charge d’analyser votre rapport et vous contactera dans les 2 jours ouvrables. Cela peut concerner les vulnérabilités identifiées, les méthodes d’identification ou tout autre étape.

Votre vie privée

Vos données personnelles seront utilisées uniquement pour réaliser les actions suite aux informations que vous fournissez dans votre rapport. Par principe, nous n’allons pas partager vos données personnelles avec des tiers sans votre permission.

Important

 

Suivez les règles

Pendant vos investigations, vous pourriez effectuer des actions qui peuvent être punies par la loi. Tant que vous respectez les règles pour signaler des vulnérabilités sur nos systèmes, il n’y aura de plainte ou de demande des dédommagements.

Infractions punissables

Nous ne pouvons pas garantir que vous ne serez pas poursuivi si vous commettez des infractions punissables pendant vos investigations, même si nous ne signalons pas le rapport comme une infraction. Le procureur de la république a toujours la décision finale d’engager des poursuites ou non. Nous ne pouvons pas intervenir.

FAQ

 

Est-ce que je serai récompensé pour mon investigation ?

Oui, vous pouvez peut être avoir une récompense pour votre investigation. Cependant, ce n'est pas une obligation. Vous n’êtes pas automatiquement éligible à une récompense. Le montant de la récompense n’est pas fixé à l’avance et est déterminé par nous. Le fait d’attribuer ou non une récompense ainsi que son montant dépend de plusieurs facteurs, notamment :

  • l’attention avec laquelle vous avez mené votre investigation ;
  • la qualité des informations fournies ;
  • la quantité de dommage ou de perte que vous nous évitez en partageant votre investigation.

Puis-je annoncer mes investigations et les vulnérabilités identifiées ?

Ne jamais publier vos investigations ou vulnérabilité dans nos systèmes sans en avoir discuté avec nous en premier. Cela nous aidera à éviter que des criminels utilisent ces informations. Il est nécessaire d’en discuter avec nos experts en sécurité et nous donner le temps de résoudre le problème.

Puis-je signaler une vulnérabilité anonymement ?

Oui. Vous n’êtes pas obligé de fournir vos nom et contact quand vous envoyez votre rapport. Gardez en tête, cependant, que sans ces informations de contact, nous ne pourrons pas discuter de la suite des actions avec vous, notamment du traitement du rapport, de la collaboration future, de la reconnaissance et de toute récompense.

Est-ce que je serai récompensé pour mon investigation ?

Oui, vous pouvez peut être avoir une récompense pour votre investigation. Cependant, ce n'est pas une obligation. Vous n’êtes pas automatiquement éligible à une récompense. Le montant de la récompense n’est pas fixé à l’avance et est déterminé par nous. Le fait d’attribuer ou non une récompense ainsi que son montant dépend de plusieurs facteurs, notamment :

  • l’attention avec laquelle vous avez mené votre investigation ;
  • la qualité des informations fournies ;
  • la quantité de dommage ou de perte que vous nous évitez en partageant votre investigation.

Puis-je annoncer mes investigations et les vulnérabilités identifiées ?

Ne jamais publier vos investigations ou vulnérabilité dans nos systèmes sans en avoir discuté avec nous en premier. Cela nous aidera à éviter que des criminels utilisent ces informations. Il est nécessaire d’en discuter avec nos experts en sécurité et nous donner le temps de résoudre le problème.

Puis-je signaler une vulnérabilité anonymement ?

Oui. Vous n’êtes pas obligé de fournir vos nom et contact quand vous envoyez votre rapport. Gardez en tête, cependant, que sans ces informations de contact, nous ne pourrons pas discuter de la suite des actions avec vous, notamment du traitement du rapport, de la collaboration future, de la reconnaissance et de toute récompense.