Signaler une vulnérabilité en matière de sécurité ou de protection de la vie privée
La politique de Bug Bounty de TaxDome s’applique aux failles de sécurité trouvées dans l’environnement en ligne de TaxDome destiné au public.
Objectif
L’objectif de cette politique est d’établir des règles pour l’examen, l’évaluation, l’application et la vérification des mises à jour du système afin d’atténuer les vulnérabilités de l’environnement informatique et les risques qui y sont associés. Si vous pensez avoir découvert une faille de sécurité ou de confidentialité dans le produit TaxDome, veuillez nous la signaler.
Désactivation des cookies
Vous pouvez empêcher l’installation de cookies en ajustant les paramètres de votre navigateur (voir l’aide de votre navigateur pour savoir comment procéder). Sachez que la désactivation des cookies affectera la fonctionnalité de ce site et de nombreux autres sites que vous visitez. La désactivation des cookies entraîne généralement la désactivation de certaines fonctionnalités et caractéristiques de ce site. Il est donc recommandé de ne pas désactiver les cookies.
Éligibilité à la prime
Tout chercheur en sécurité est tenu de ne pas entreprendre d’action destructrice susceptible d’entraîner des conséquences négatives :
- Perte de données d’autres utilisateurs
- Refus de service pour les autres utilisateurs
- Ajouter à une liste de blocs
Si vous soupçonnez l’existence d’une telle faille, veuillez contacter l’équipe de développement de TaxDome à l’adresse suivante help@taxdome.com.
Niveaux de gravité
Nous classons les vulnérabilités en fonction de leur impact potentiel sur nos systèmes. Cela nous aide à donner la priorité aux corrections et à déterminer les récompenses appropriées. Les niveaux de gravité sont les suivants :
- SEV-1 (faible gravité) : il n’y a aucun moyen d’exploiter la vulnérabilité actuellement, mais elle présente des faiblesses potentielles qui pourraient être exploitées à l’avenir.
- SEV-2 (gravité moyenne) : la vulnérabilité permet à un attaquant d’avoir un impact mineur ou limité sur le fonctionnement du système. Il peut s’agir d’un accès limité aux données ou du contournement de restrictions mineures.
- SEV-3 (gravité élevée) : la vulnérabilité a un impact significatif sur le fonctionnement de l’ensemble du système ou permet à un pirate de contourner des restrictions sur un ensemble limité de données.
- SEV-4 (gravité critique) : la vulnérabilité a un impact significatif sur l’ensemble du système ou permet à un pirate d’accéder facilement à une quantité importante de données.
- SEV-5 (gravité extrême) : la vulnérabilité donne à un pirate un accès complet et indétectable au système.
Exemples de vulnérabilités par gravité
Voici quelques exemples de vulnérabilités classées selon leur niveau de gravité :
- SEV-1 (faible gravité) : Injection HTML/code malveillant/injection d’URL ; redirection ouverte
- SEV-2 (gravité moyenne) : possibilité d’attaque DOS (déni de service) ; un employé ne disposant pas des droits nécessaires peut accéder à l’organisateur et au modèle de questionnaire
- SEV-3 (gravité élevée) : un pirate peut voler les clients d’un utilisateur et relier les clients à leurs contacts via IDOR (Insecure Direct Object References).
- SEV-4 (gravité critique) : un pirate peut obtenir un accès non autorisé pour supprimer les factures de tous les utilisateurs via IDOR.
- SEV-5 (gravité extrême) : un pirate peut injecter un code arbitraire qui lui permet de prendre complètement le contrôle du compte d’un utilisateur, de voler ses données et d’effectuer des actions non détectées en son nom.
Protecting Our Clients from Phishing
TaxDome s’engage à protéger ses clients contre les attaques de phishing. Les e-mails de phishing sont des tentatives frauduleuses visant à inciter les destinataires à révéler des informations sensibles, telles que des noms d’utilisateur, des mots de passe ou des données financières. Parfois, ces courriels semblent provenir de sources légitimes, comme le propriétaire d’une entreprise utilisant TaxDome.
What to Look Out For
Les e-mails de phishing peuvent être très convaincants, mais il y a des signaux d’alarme à surveiller :
- L’adresse électronique peut ressembler à celle d’un expéditeur légitime mais présenter de légères variations (par exemple, un caractère supplémentaire ou un nom de domaine différent).
- L’e-mail peut s’adresser à vous de manière générique au lieu de vous appeler par votre nom.
- L’e-mail peut créer un sentiment d’urgence ou de pression pour agir rapidement.
- Les e-mails de phishing contiennent souvent des erreurs grammaticales ou des fautes de frappe.
Si vous recevez un e-mail suspect prétendant provenir du patron de votre cabinet ou de TaxDome, ne cliquez pas sur les liens ou les pièces jointes.
Signaler les tentatives de phishing
Bien que nous apprécions votre vigilance, veuillez noter que les rapports sur les tentatives de phishing ne sont pas éligibles pour notre programme Bug Bounty. Notre programme se concentre sur l’identification des vulnérabilités au sein de la plateforme TaxDome elle-même.
Règles du programme
Veuillez noter que nous ne payons des primes que pour les rapports originaux. Si un duplicata est enregistré, nous vous informerons lorsque le premier rapport sera déposé.
Rapports inéligibles :
- Tout ce qui n’est pas sous notre contrôle (services de tiers, y compris, mais sans s’y limiter, Site.pro, featureOS, Intercom, Beamer, Customer.io).
- Tout ce qui nécessite un accès physique à l’appareil ou au réseau
- Tout ce qui nécessite des versions obsolètes de logiciels ou de matériel.
- Ingénierie sociale, phishing, etc.
- Recommandations et meilleures processus, tant qu’il n’y a pas d’exploit spécifique
TaxDome n’est pas tenu de fournir une explication détaillée si le rapport de sécurité n’est pas éligible.
Comment signaler des failles en matière de sécurité ou de protection de la vie privée ?
- Si vous pensez avoir découvert une faille de sécurité ou de confidentialité qui affecte les logiciels, les services ou les serveurs web de TaxDome, veuillez nous en faire part.
- Les rapports de tous, y compris les chercheurs en sécurité, les développeurs et les clients, sont les bienvenus.
- Pour signaler une faille de sécurité ou de confidentialité, envoyez un e-mail à help@taxdome.com et incluez dans votre message les vidéos, les journaux de collisions et les rapports de diagnostic du système pertinents.
- TaxDome vous répondra pour accuser réception de votre déclaration. Nous vous contacterons si nous avons besoin de plus d’informations dans les 10 jours ouvrables.