Politique de divulgation responsable

FRENCH

Introduction

La sécurité de nos clients, de nos données et de notre infrastructure est primordiale pour TouchWeb. Nous nous engageons à identifier et à résoudre les failles de sécurité, et nous encourageons les chercheurs en sécurité à nous signaler toute vulnérabilité découverte dans nos systèmes.


Les tests d'intrusion sont encouragés auprès de notre clientèle et nous voyons cela positivement.

Néanmoins, veillez à faire cela dans les règles de l'art. Vos adresses IP d'attaque doivent nous être déclarées afin que nous puissions vous éviter de subir notre IDS et vous permettre de passer votre pentest fluidement.

Les vulnérabilités que notre WAF bloque sont jugées hors périmètre de responsabilités.

Portée

Cette politique s'applique à tous les sites web, services, applications, et produits gérés par TouchWeb.


Directives pour le Signalement

  1. Signaler les vulnérabilités rapidement : Si vous découvrez une vulnérabilité potentielle, nous vous encourageons à nous la signaler dès que possible en utilisant les informations de contact indiquées ci-dessous.
  2. Éviter toute altération des données : Limitez vos actions à la découverte de la vulnérabilité sans accéder, modifier, ou détruire des données. Toute interaction doit rester dans le cadre de la vérification et de la démonstration de la faille de sécurité.
  3. Ne pas perturber les services : Veuillez ne pas réaliser d'actions pouvant altérer la disponibilité ou la performance des services (par exemple, des tests de charge).
  4. Respecter la confidentialité : Ne divulguez pas publiquement les détails de la vulnérabilité sans notre autorisation écrite. Une période de divulgation coordonnée sera définie conjointement.

Types de vulnérabilités recherchées

Nous encourageons le signalement des types de vulnérabilités suivants :

  • Injection SQL/PHP ou autre injection de code à dangerosité avérée et outrepassant notre WAF
  • Cross-Site Scripting (XSS) de Type 0 et 2
  • Authentification et autorisation incorrectes (incluant IDOR)
  • Fuites de données sensibles

D'autres types de vulnérabilités peuvent être pris en compte à notre discrétion.


Hors de la portée

Les éléments suivants sont généralement hors du champ d'application de cette politique :

  • Attaques de déni de service (DDoS)
  • Spams et phishing
  • Problèmes liés aux navigateurs ou aux plugins tiers

Processus de Remédiation

ATTENTION : Seules les demandes ayant été soumises de manière chiffrée avec notre clé GPG publique seront traitées, toutes les autres sont supprimées à réception.

  1. Accusé de réception : Nous vous enverrons un accusé de réception sous 48 heures ouvrées après réception de votre rapport.
  2. Évaluation et correction : Notre équipe analysera le rapport, évaluera la vulnérabilité, et travaillera à une solution dans les plus brefs délais si c'est dans notre périmètre de responsabilité et d'intervention.
  3. Communication des résultats : Une fois le problème résolu, nous vous enverrons un retour sur la correction et le processus de remédiation.

Reconnaissance

Sous réserve de l'impact de la vulnérabilité et du respect de cette politique, nous pouvons offrir des remerciements publics sur notre site de sécurité, ou d'autres formes de reconnaissance.


Coordonnées de Contact

- Email de contact :
- Clé GPG (les demandes non chiffrées sont supprimées à réception) : https://gpg.touchweb.fr/touchweb_io.asc
- URL de notre fichier security.txt : https://www.touchweb.fr/.well-known/security.txt
- URL de la signature de notre fichier security.txt : https://www.touchweb.fr/.well-known/security.txt.sig


Clause de Non-Responsabilité

Nous nous réservons le droit de modifier cette politique à tout moment. En signalant une vulnérabilité, vous acceptez de respecter cette politique.



ENGLISH

Introduction

The security of our customers, our data, and our infrastructure is paramount for TouchWeb. We are committed to identifying and resolving security vulnerabilities, and we encourage security researchers to report any vulnerabilities discovered in our systems.


Penetration testing is encouraged with our customers, and we view this positively.

However, please ensure that it is conducted professionally. Your attack IP addresses must be declared to us so that we can help you avoid triggering our IDS and allow you to conduct your pentest smoothly, but without bypassing our WAF.

Vulnerabilities that our WAF blocks are considered out of scope of responsibility.

Scope

This policy applies to all websites, services, applications, and products managed by TouchWeb.


Reporting Guidelines

  1. Report vulnerabilities promptly: If you discover a potential vulnerability, we encourage you to report it to us as soon as possible using the contact information provided below.
  2. Avoid data alteration: Limit your actions to identifying the vulnerability without accessing, modifying, or destroying data. Any interaction must remain within the scope of verification and demonstration of the security flaw.
  3. Do not disrupt services: Please refrain from actions that may impact the availability or performance of services (e.g., load testing).
  4. Respect confidentiality: Do not publicly disclose the details of the vulnerability without our written authorization. A coordinated disclosure timeline will be established jointly.

Types of Vulnerabilities Sought

We encourage the reporting of the following types of vulnerabilities:

  • SQL/PHP Injection or other harmful code injection which bypass our WAF
  • Type 0 and 2 Cross-Site Scripting (XSS)
  • Improper authentication and authorization (including IDOR)
  • Leakage of sensitive data

Other types of vulnerabilities may be considered at our discretion.


Out of Scope

The following elements are generally out of scope of this policy:

  • Denial of Service (DDoS) attacks
  • Spam and phishing
  • Browser or third-party plugin issues

Remediation Process

WARNING : Only requests submitted in an encrypted manner with our public GPG key will be processed; all others are deleted upon receipt.

  1. Acknowledgment: We will send you an acknowledgment within 48 business hours after receiving your report.
  2. Assessment and correction: Our team will analyze the report, assess the vulnerability, and work on a solution as soon as possible if it is within our scope of responsibility and intervention.
  3. Communication of results: Once the issue is resolved, we will send you feedback on the correction and remediation process.

Recognition

Subject to the impact of the vulnerability and compliance with this policy, we may offer public acknowledgment on our security site or other forms of recognition.


Contact Information

- Contact email:
- GPG Key (unencrypted requests are deleted upon receipt): https://gpg.touchweb.fr/touchweb_io.asc
- URL of our security.txt file: https://www.touchweb.fr/.well-known/security.txt
- URL of the signature of our security.txt file: https://www.touchweb.fr/.well-known/security.txt.sig


Disclaimer

We reserve the right to modify this policy at any time. By reporting a vulnerability, you agree to comply with this policy.