Paysera

Programme de chasse aux bugs

Notre équipe de développeurs travaille en permanence pour assurer la sécurité des informations de nos clients. En même temps, nous comprenons le rôle important que jouent les chercheurs en sécurité et notre communauté d'utilisateurs pour nous aider à maintenir la sécurité des données de nos clients. Si vous découvrez une vulnérabilité sur un site Web ou un produit, veuillez nous en informer en utilisant les directives ci-dessous.
#

Programme de chasse aux bugs

Termes et conditions du Programme

Veuillez noter que votre participation au Programme de Récompenses pour la Découverte de Bugs est volontaire et soumise aux termes et conditions énoncés sur cette page. En soumettant une vulnérabilité de site Web ou de produit à Paysera, vous reconnaissez avoir lu et accepté les termes et conditions de ce Programme.
Ces termes et conditions du Programme complètent les termes de tout autre accord que vous avez conclu avec Paysera. En cas de non-concordance entre les termes des Accords de Paysera et les présents termes et conditions du Programme, ces derniers prévaudront uniquement en ce qui concerne le Programme de Récompenses pour la Découverte de Bugs.

Directives pour le signalement des problèmes de sécurité

Si vous pensez avoir trouvé une vulnérabilité de sécurité chez Paysera, veuillez nous la signaler par e-mail à [email protected]. Veuillez inclure les étapes détaillées pour reproduire le problème ainsi qu'une brève description de son impact potentiel. Nous encourageons la divulgation responsable (telle que décrite ci-dessous) et nous nous engageons à enquêter sur tous les rapports légitimes rapidement, et à résoudre tout problème confirmé dès que possible.

Services dans le champ d'application

Tout service Paysera qui traite des données utilisateur raisonnablement sensibles est considéré comme faisant partie du champ d'application. Cela inclut, sans s'y limiter, pratiquement tout le contenu sous les domaines suivants :*.paysera.com.

Politique de divulgation responsable

La sécurité des fonds, des données et des communications des utilisateurs est une priorité absolue chez Paysera. Pour encourager la divulgation responsable, nous n'engagerons aucune poursuite judiciaire contre les chercheurs qui identifient des vulnérabilités, à condition qu'ils adhèrent aux principes de divulgation responsable, qui incluent, sans s'y limiter, ce qui suit :

 

 Accéder, divulguer ou modifier uniquement vos propres données client.

 N'effectuer aucune attaque susceptible de nuire à la fiabilité ou à l'intégrité de nos services ou de nos données.

 Éviter les techniques de balayage (scanning) susceptibles de dégrader le service pour les autres clients (DoS, spamming).

 Toujours garder les détails des vulnérabilités secrets jusqu'à ce que Paysera ait été notifié et ait corrigé le problème.

 Ne pas tenter d'obtenir l'accès au compte ou aux données d'un autre utilisateur.

 

Lors de la recherche de vulnérabilités sur le site Web de Paysera, il est strictement interdit de :

 

 Effectuer des actions susceptibles de perturber ou d'affecter le fonctionnement des systèmes Paysera ;

 Tenter d'accéder, de copier, de distribuer ou de détruire illégalement les données de Paysera ou de ses clients, que ce soit de manière indépendante ou par l'intermédiaire de tiers ;

 Nuire aux clients de Paysera, notamment en perturbant la fourniture de services, en utilisant des méthodes d'ingénierie sociale ou en envoyant des messages non sollicités.

 

Si vous ne respectez pas ces principes, Paysera peut restreindre votre compte, bloquer votre adresse IP et engager d'autres actions légales.
Nous vous invitons à collaborer avec les développeurs de Paysera pour reproduire, diagnostiquer et corriger le problème. Nous utilisons les directives suivantes pour déterminer l'éligibilité des demandes et le montant de la récompense.
#
#

Admissibilité

Une personne n'est pas éligible pour participer au Programme de prime aux bogues si elle :

 

 A enfreint des lois nationales ou locales ;

 Est un membre de la famille proche d'un employé de Paysera, de ses filiales ou de ses succursales ;

 A moins de 14 ans. Si vous avez au moins 14 ans, mais êtes considéré comme mineur dans votre lieu de résidence, vous devez obtenir une autorisation signée par vos parents ou tuteurs légaux avant de participer au Programme.
 

Si Paysera découvre que vous ne remplissez pas l'un des critères ci-dessus, Paysera vous retirera du Programme de prime aux bogues et vous disqualifiera de la réception de tout paiement de prime.

Montant de la récompense

Les récompenses sont accordées en fonction de la gravité de la vulnérabilité de sécurité. Plus la vulnérabilité est significative, plus la récompense pour son signalement est élevée. Les vulnérabilités qui pourraient entraîner une perte financière ou compromettre la sécurité des données sont considérées comme particulièrement critiques.

Une récompense plus petite est accordée pour les vulnérabilités qui ne causent pas les résultats suivants :

 Perte partielle/complète de fonds ;

 Fuite de données utilisateur ;

 Compromission de l'intégrité de la transmission des données.

 Dans tous les cas, gardez les informations sur les vulnérabilités du système confidentielles jusqu'à ce que Paysera ait été informé et que le problème ait été résolu.

 N'essayez pas d'accéder au compte ou aux données d'un autre utilisateur.

 

Pour être éligible à une récompense, une vulnérabilité de sécurité doit satisfaire aux critères suivants :

 Doit être originale et non signalée précédemment ;

 Démontrer une vulnérabilité système à distance, le potentiel d'escalade des privilèges, ou un risque de divulgation d'informations confidentielles.

 

Si plusieurs personnes signalent la même vulnérabilité de sécurité en même temps, la récompense sera divisée proportionnellement entre elles.
Une récompense plus élevée peut être accordée dans les cas suivants :

 Le chercheur peut démontrer de nouvelles classes d'attaques, ou des techniques pour contourner les fonctionnalités de sécurité. Ou, si une vulnérabilité existante peut être démontrée comme étant exploitable grâce à des recherches supplémentaires effectuées par le rapporteur, une compensation additionnelle peut être obtenue pour le même bogue.

 La recherche pourrait également découvrir des zones problématiques extrêmement graves, complexes ou intéressantes qui étaient auparavant non signalées ou des problèmes inconnus.


Si un rapport satisfait à toutes les exigences du Programme, les paiements de prime seront déterminés par Paysera, à la seule discrétion de Paysera. En aucun cas, Paysera ne sera obligé de payer une prime pour des rapports qui ne relèvent pas du champ d'application du Programme de prime aux bogues. Tous les paiements de prime ne peuvent être effectués qu'en euros vers un compte Paysera identifié. La récompense peut également être transférée aux organisations Greenpeace, la Croix-Rouge ou Caritas à la demande du chercheur. Les paiements par cryptomonnaie ou d'autres systèmes de paiement non mentionnés sur cette page ne sont pas pris en charge.

Lors de la détermination du montant de la récompense, Paysera évalue le risque posé par la vulnérabilité de sécurité et l'impact potentiel qu'elle pourrait avoir.
#

Exemples de vulnérabilités

Exemples de vulnérabilités admissibles

Paysera se réserve le droit de décider si le seuil de gravité minimum de qualification est atteint et si la vulnérabilité a déjà été signalée.

  • Contournement d'authentification ou élévation de privilèges.

  • « Clickjacking » (lorsqu'un utilisateur est incité à cliquer sur des éléments cachés ou déguisés d'une page web).

  • « Cross-site scripting (XSS) » (une vulnérabilité qui permet l'injection de code supplémentaire dans une page web consultée par les utilisateurs)

  • Falsification de requête intersites (CSRF/XSRF)

  • Scripts à contenu mixte (Mixed-content scripts)

  • Exécution de code côté serveur

  • Violation de données utilisateur

  • Exécution de code à distance

Exemples de vulnérabilités non admissibles

Le signalement des vulnérabilités suivantes est apprécié mais n'entraînera pas de récompense systématique de la part de Paysera :

  • Vulnérabilité de déni de service (DoS) ou problèmes liés à la limitation du débit (« rate-limiting »).

  • Possibilités d'envoyer des liens malveillants à des personnes que vous connaissez.

  • Bogues de sécurité sur des sites web tiers qui s'intègrent à l'API Paysera.

  • Vulnérabilités liées à des logiciels tiers (par exemple, Java, plugins, extensions) ou à un site web, sauf si elles entraînent une vulnérabilité sur le site web de Paysera.

  • Spam (y compris les problèmes liés à SPF/DKIM/DMARC).

  • Problèmes d'utilisabilité, saisie semi-automatique des formulaires.

  • Paramètres non sécurisés dans les cookies non sensibles.

  • Vulnérabilités du cache du navigateur.

  • Vulnérabilités (y compris XSS) qui nécessitent qu'une victime potentielle installe un logiciel non standard ou prenne des mesures actives très improbables pour se rendre vulnérable.

  • Attaques non techniques telles que l'ingénierie sociale, le phishing, ou les attaques physiques contre nos employés, utilisateurs ou infrastructures.

  • Vulnérabilités (y compris XSS) qui n'affectent que les navigateurs/plugins hérités (« legacy »).

  • « Self-XSS » (lorsqu'un utilisateur installe accidentellement du code malveillant sur son propre site web).

  • CSRF pour des actions non significatives (déconnexion, etc.).

  • Attaques de « Clickjacking » sans une série de clics documentée qui produit une vulnérabilité.

  • Injection de contenu, comme du texte reflété ou des balises HTML.

  • En-têtes HTTP manquants, sauf si leur absence ne parvient pas à atténuer une attaque existante.

  • Contournements d'authentification qui nécessitent l'accès à un logiciel/matériel.

  • Vulnérabilités qui nécessitent l'accès à des mots de passe, des jetons ou le système local (par exemple, fixation de session).

  • Vulnérabilités présumées basées uniquement sur les numéros de version.

  • Bogues nécessitant une interaction utilisateur extrêmement improbable.

  • Divulgation d'informations publiques et d'informations qui ne présentent pas de risque significatif.

  • Scripting ou autre automatisation et forçage brutal (« brute forcing ») de fonctionnalités prévues.

  • Requêtes violant la politique de même origine sans scénario d'attaque concret (par exemple, lors de l'utilisation de CORS, et que les cookies ne sont pas utilisés pour effectuer l'authentification ou qu'ils ne sont pas envoyés avec les requêtes).

#

Informations requises

Lors de la soumission d'informations concernant une vulnérabilité de sécurité, veuillez fournir :

 

 Une description complète de la vulnérabilité signalée, y compris son exploitabilité et son impact.

 Documentez toutes les étapes nécessaires pour reproduire l'exploitation de la vulnérabilité.

 L'ou les URL/application(s) affectée(s) (même si vous nous avez également fourni un extrait de code/une vidéo).

 Les adresses IP qui ont été utilisées lors du test.

 Incluez toujours l'identifiant utilisateur utilisé pour la preuve de concept (PoC).

 Incluez toujours tous les fichiers que vous avez tenté de télécharger.

 Fournissez la preuve de concept (PoC) complète.

 Veuillez sauvegarder tous les journaux d'attaque et les joindre au rapport.


L'omission de l'un des éléments requis peut entraîner la retenue ou le retard du paiement de la prime.
Signalez-nous toute vulnérabilité par e-mail à [email protected].
#

Note!

Les récompenses ne peuvent pas être accordées aux personnes sous sanction ni aux citoyens de pays figurant sur la liste des sanctions (Cuba, Iran, Corée du Nord, Soudan, Syrie). Vous êtes responsable de toutes les taxes applicables en fonction de votre pays de résidence et de votre citoyenneté. Les lois locales peuvent imposer des restrictions supplémentaires qui pourraient vous empêcher de participer au Programme.

 

Ce Programme n'est pas un concours, mais plutôt une initiative de récompense expérimentale et discrétionnaire. Veuillez noter que Paysera peut mettre fin au Programme à tout moment.

Questions fréquemment posées

Nous considérons les tests de vulnérabilité comme un élément essentiel de la recherche en sécurité et exigeons que les rapports soumis incluent un scénario d'attaque crédible pour pouvoir prétendre à une récompense. Le montant de la récompense est déterminé en fonction de l'impact potentiel maximal de la vulnérabilité. Le comité d'évaluation peut réviser la récompense si de nouvelles informations augmentent significativement l'impact évalué (par exemple, une série de bugs ou un scénario d'attaque révisé).
Veuillez soumettre votre rapport dès que vous avez découvert un problème de sécurité potentiel. Le comité examinateur aura l'impact maximal et choisira la récompense en conséquence. Nous versons régulièrement des récompenses plus élevées pour les rapports bien rédigés et utiles dont l'auteur n'aurait pas remarqué ou n'aurait pas pu analyser entièrement l'impact d'une faille particulière.
Become a follower