Chez WebinarGeek, nous reconnaissons le rôle essentiel de la sécurité dans la fourniture de services de qualité à notre base d’utilisateurs mondiale. Malgré nos efforts continus pour protéger nos systèmes, que vous trouverez détaillés ici, des vulnérabilités peuvent apparaître. Nous croyons en une collaboration avec la communauté des chercheurs en sécurité afin d’identifier et de résoudre les problèmes rapidement et efficacement. Nous encourageons les chercheurs et hackers éthiques à nous contacter de manière responsable pour améliorer notre environnement numérique.
Consignes pour signaler les vulnérabilités
Nous invitons les chercheurs et passionnés de sécurité à signaler les vulnérabilités potentielles identifiées dans nos systèmes, en comprenant et en acceptant les consignes suivantes :
Contact : Adressez vos découvertes à security@webinargeek.com. Fournissez des informations détaillées, notamment les étapes permettant de reproduire la vulnérabilité, afin que notre équipe de sécurité puisse valider et traiter le problème rapidement. Nous sommes convaincus que le chiffrement standard des e-mails est suffisant pour garantir la confidentialité nécessaire au signalement d’une vulnérabilité. Toutefois, si vous estimez que votre rapport de vulnérabilité nécessite l’utilisation du chiffrement PGP, vous trouverez notre clé publique en bas de cette page.
Accusé de réception : Nous nous engageons à accuser réception de votre rapport dans un délai de deux jours ouvrables.
Enquête et résolution : Notre équipe dédiée examinera les vulnérabilités signalées et s’efforcera de les résoudre dans la semaine suivant l’accusé de réception. La complexité et la gravité du problème peuvent avoir une incidence sur les délais de résolution.
Confidentialité : Nous vous demandons de préserver la confidentialité de toute vulnérabilité découverte jusqu’à ce que nous l’ayons résolue. Nous coordonnerons avec vous la divulgation publique de toute découverte.
Récompenses et reconnaissance : Bien que tous les rapports ne soient pas nécessairement éligibles à une récompense, nous évaluons les soumissions au cas par cas en vue d’une éventuelle reconnaissance ou récompense. La nature de la récompense dépendra de la gravité et de l’impact de la vulnérabilité découverte.
Protection juridique : Nous nous engageons à ne pas engager de poursuites judiciaires contre les personnes qui signalent des vulnérabilités conformément à ces consignes, à condition qu’elles ne se soient pas livrées à des activités illégales ni à une utilisation abusive de la vulnérabilité découverte.
Ce que nous n’acceptons pas
Les tentatives d’accès, de téléchargement ou de modification de données appartenant à autrui.
Les attaques par déni de service (DoS).
Le spam.
L’ingénierie sociale ou les attaques physiques contre nos biens ou nos données.
Programme de récompenses
Les récompenses sont déterminées en fonction du niveau de risque de la vulnérabilité de sécurité signalée et sont laissées à la discrétion de WebinarGeek.
En cas de rapports en double, la récompense sera attribuée à la première personne ayant effectué le signalement.
Les récompenses sont susceptibles d’être modifiées et peuvent varier selon le caractère unique et la gravité de la vulnérabilité.
Hors champ
Les rapports concernant des problèmes ou demandes non liés à la sécurité.
Les services et logiciels tiers qui ne sont pas directement gérés par WebinarGeek.
Les vulnérabilités publiquement connues qui ont déjà été corrigées.
Les vulnérabilités qui sont :
des codes HTTP 404 ou d’autres codes autres que HTTP 200
des bannières de version sur des services publics
du détournement de clic sur des pages sans connexion
de la falsification de requête intersite (CSRF) sur des formulaires accessibles anonymement
l’absence d’attributs « secure » / « HTTP Only » sur des cookies non sensibles
des notifications liées au certificat SSL (par exemple, chiffrement faible)
l’utilisation de la méthode HTTP OPTIONS
l’injection d’en-tête Host
l’absence d’enregistrements SPF, DKIM et DMARC
l’absence de DNSSEC
l’absence d’en-têtes de sécurité HTTP
le signalement de versions obsolètes de logiciels sans preuve de concept ni exploit fonctionnel
des failles de logique métier, y compris l’abus de flux produit prévus, de la logique de tarification ou de facturation, de modèles d’autorisation par conception, ou des problèmes nécessitant un comportement utilisateur irréaliste, sauf s’ils démontrent une vulnérabilité de sécurité claire ayant un impact direct
les bonnes pratiques
Conclusion
Vos contributions sont précieuses pour la sécurité et l’intégrité de nos services. WebinarGeek s’engage à collaborer ouvertement avec la communauté de la sécurité afin d’atténuer et de résoudre les vulnérabilités de manière responsable. Nous attendons vos soumissions avec intérêt et vous remercions de vos efforts pour nous aider à assurer la sécurité de nos systèmes.
Pour toute autre question ou soumission, contacte security@webinargeek.com.
Clé PGP publique
-----BEGIN PGP PUBLIC KEY BLOCK----- Version: Mailvelope v5.1.2 Comment: https://mailvelope.com xsFNBGYiNvsBEACstiq6CSr87xh1aFp3xmnbv2/KOtKL8rQs9SUA8OgYIrmD zdMbdMzCY+OEcXlOi8huygkqDXX5s4VPUspjYFuPWp1U8WkGOzl68E6t2Tbi Rz464iRWVUkj/4rUxVOW22+XKiewHLmWgpbXwuxc4OSfUZpihvB135LmXJS6 yFTfv0M8s9hCYDsJ6wNa/V53UiLsXqUe/1rRFx1sLOYwjXaGZBpJyhKUpez5 Zq2a2qMKtBgFVfZ6Wv3Qzswc1Bpb/e14G2kFPwPQVdf38tmXXmcnZe31l9oG dP4EVLa29iPhaGL9Z4CBbWsyxJN8SAWIiFXKQhKxdw1GizqEPAbKHgezGPB9 CYI1NzrZtKS7weIIjC46hwGjSpp81xxhH8c+V8L7ZDGJ/wH709g60Qvs+Wo3 0gTfNtjwS2dhf+KMk+ZvdFP1p80xUm9Yx6OkrPs4KwPwBZ5YFgDsyarIau2H rDl6AU370OxVUCsvf0o+QAe4mpxosCfbBkaX/B5Glsr/8ZjPOPiZa1vxkFP/ AmygdbzuZBhCWhvp+w4Re01J1wH8RJHN7s7t4IoXLGb/mQZiOpd86mqJEiMy 2zjVB2B0mOQ29dE37XDE8B15QxTbAYkaXTEqi2c9vty5h+qYdOtw8aBBcX3c srkv9nVqSVsR2z9fNG/Q8GJPoJR+T5V9rXLtPQARAQABzS9XZWJpbmFyR2Vl ayBTZWN1cml0eSA8c2VjdXJpdHlAd2ViaW5hcmdlZWsuY29tPsLBigQQAQgA PgWCZiI2+wQLCQcICZAkstxUEqspXwMVCAoEFgACAQIZAQKbAwIeARYhBJVy WxNjs/qPf/cTtCSy3FQSqylfAABNrg//c/Q3RUtLJ8AflLl2Cack9MiL6zqJ 5Ynid83JuKor9/m2j/CXLeu05WYmMETUIIWRukgrKixjK/4GsnNuAdsuLdkB wJoi7laubateNSNOHP/UCCq0SS9h+S5RMhXRJu4hwJPfGpdFbnpTtEUf+w2p y1KgZkGJwGHgKXK+yecymudV+gWuuifZDhvPc7/UuIGXXXQSUcIH8Q3i4jWK xdFWlCv8Vbgg8fmAJVxYovBt9UAdv4x2gD325/unaK1yV8AEcKdX0jrKrzCV hNUPj4GlAiLzITQznfbRo9j6/iN579QCTqvuoM0x3y8hKDWzghQlXZrWw+PZ 5VkUC0eOOLipqswKuVRrpbUGmnz3Nx+d0hvUySeWxbol119seE3SG+GEvhA5 wjsWA4RaFF1rOv9OiBnIbrSjacBzsRjTixhwNZdbyFqVb55Ou5Sh6sHvJkam jPYVDTWA7lFANDJZkzNOeI0TvwyZLt6rSsv/YLxMLkcjwNSDKxhnRjnH05d3 JO5SEtT2+bLWMcCM4ENQGBcxG6NxMNN3dm9UFAMX+6Ig+Twi23+WnW0XIcRY MCIxkVe1KstDyD8OeshVtslbH3DS5ex13eRQdNuRDeuiqN1KANQKymHTNFWA KtH/oD8euhGHDxa4z9ASNAVHZVsSJZQrj9s5xpypzOgSoR0h8t2jvCXOwU0E ZiI2+wEQAMbSZcIFssfG0UIxegqAW8EFevvAhW1j+o8bWHn84lxSj7Ps5AZ1 a4jbcUFXR17UmRU7QlDPOQQ8+3dXoRavRWIoRpIN97H6Wj/BYkfQOqt3+znP 2RoggCpfaxee/XIPL7pI1M0p0lOxeTFxRBAaImOBzu4LMcGdI+z6n1bB2K5g qWsEOlR3PzsSwLdWukwPON5f5gvxcO8NK9ayUZwOqghuqZUMNVF29Bvy3qwm M+z7WrlwWCXPvdHlz2an+2HEMyoLSKI9Vkim7VM/LcddHVVM6iVAx7vJg4Aa wYjyJ79mXuEnVtj4q6FKXYl1xFJl9Q7YMqw4yrUz7dCg5FsgdXZhmPuvZKcM ZquruegkH/tlnmxcSdA+XpA//qbibbNTHDhxYgjoKHtWZ8ZJUE6fHjRXRKJC TTAe8tnmYjEePjRSR3BZ0e6/jLeA/8lvFv5zPjruDlRfRmiw+xOPBOu7gD+b Lpwa4F3mAVXwAM8yUP/ebt3MoAS39pWExAhxvQO1P9L5olTxZfHiFdN9lJZX 73bgRnf7BRzzZxtirGFQY9hs1Wsx37M30xM9RDibh49/Zn7r4U89LuwGiXx+ KVp4TO5uMI6wK2aTHyJwFyDIxQVYCFU0Bv8+YuF+JQTcBIwc6/HeTjhaV3VM KbBs198cldpmOjf4JRY3v731ngWgZKKnABEBAAHCwXYEGAEIACoFgmYiNvsJ kCSy3FQSqylfApsMFiEElXJbE2Oz+o9/9xO0JLLcVBKrKV8AAAU7D/4wENpv iFLuMYtlMTNakZEYje7Ezth/c1XjK0juryFxv+mRKlzcvqiQwR24b/xWXg6v qwKhyW8WgFEYnadZXCWd4XuIb6dWjtFKzHPdhr4revzJXRPliHM9r+Ywr78N nJ2MvkO9BjLfa2CfkuCaVR2q55rm5AUj8wZcCdLTOnAGbq/l1qwM4sQdU8rf JdSiKT8eDQk3GVDCRb9rnWv66VxTVqz2v9Wa1RT7DxZH89+X8cgYwOcX5hK6 Rs7WPMoxM7oXsGgUMe5zp+QmqeAVNtazAT/VkFDe43HZFVhuMWzJb/43mzDp MjH3E6xTCQq5iD494H5TtaC3P4OcOoSofiBZzKhHZZGPLzXAWkn17mC1Ls2T PeyNcjSXTFzpdanCfCcUEI5U2aiz0ncVRK9b43LCWO6dEl3TE7EedpHnOasl mUKT0Um7zrjCZEX7kYUmoUxP07VTjZEXINpc5PtmUkeYMvwZDa1TPfmOdVTs 6QTmyILhuGwGmkIwU0nookkp3Zmwbv+0PFVLsB5ZsFVtVEucweHgtz9WIo4A 6toKPmtcDwkrcJ8b3kCuq+bjdqPxmoGI8j8esN+Mlz45rFyBm7RHYZcTDgjn p/dOZB9C0sFDpfq39Vdqz+J1Ur3s4kBrsAL2OaPcU4Sn6WTfkzkOM5qGgDea bv7XodZw39niyfbpIw== =47Xu -----END PGP PUBLIC KEY BLOCK-----
