Divulgation responsable

Aux Fermes Lufa, la sécurité de nos systèmes est une grande priorité. Cependant, malgré tous les efforts entrepris pour assurer la sécurité de nos systèmes, des failles peuvent toujours être présentes.

Si vous détectez une faille, nous souhaitons en être informés afin de pouvoir y remédier aussitôt que possible. Nous vous encourageons à nous aider à mieux protéger nos clients et nos systèmes en suivant la procédure ci-dessous.

• Envoyez vos découvertes par courriel à security@lufa.com.
• Nous examinerons les rapports légitimes et ferons tout notre possible pour corriger rapidement toute vulnérabilité. Afin d'encourager la divulgation responsable, nous n'engagerons pas de poursuites judiciaires et ne demanderons pas aux forces de l'ordre d'enquêter sur vous, tant que vous respectez les conditions d'utilisation.
• N'accédez pas aux données qui ne vous appartiennent pas et ne les modifiez pas. Si vous parvenez à accéder à des données appartenant aux Fermes Lufa, à d'autres clients des Fermes Lufa ou à des fournisseurs des Fermes Lufa, ou à les modifier au cours de vos recherches, vous devez prendre les mesures suivantes :
• Cessez immédiatement vos activités.
  Divulguez vos découvertes aux Fermes Lufa dès que possible (mais pas plus tard que 24 heures après la découverte). Vos conclusions doivent inclure les détails de la vulnérabilité, y compris les informations nécessaires pour reproduire et valider la vulnérabilité, ainsi qu'une preuve de concept (POC).Attendez les instructions de l'équipe des Fermes Lufa. Faites un effort de bonne foi pour éviter les violations de la vie privée, la destruction des données et l'interruption ou la dégradation de nos services.
• Donnez aux Fermes Lufa un délai raisonnable pour corriger le problème. Dans certaines circonstances, Les Fermes Lufa peuvent vous demander de ne pas divulguer vos conclusions ou de retarder la divulgation jusqu'à ce que nous puissions nous assurer que le problème a été traité de manière adéquate. Vous ne pouvez pas divulguer des vulnérabilités confirmées et non résolues sans l'accord des Fermes Lufa.

• Les recherches doivent être effectuées à partir de votre propre compte des Fermes Lufa. Vous ne devez pas modifier intentionnellement des comptes en ligne, des données ou des comptes appartenant à d'autres clients des Fermes Lufa (sans autorisation explicite). Si, au cours de vos recherches, vous trouvez une vulnérabilité qui vous permettrait de contourner un contrôle d'authentification pour le compte d'un autre client, vous devez signaler cette vulnérabilité aux Fermes Lufa immédiatement et ne pas prendre d'autres mesures.
• Si vous êtes en mesure d'accéder ou de modifier des données personnelles d'autres clients des Fermes Lufa ou d'autres données sensibles qui ne vous appartiennent pas, contactez immédiatement Les Fermes Lufa. N'essayez pas d'effectuer un travail de post-exploitation avec ces données.
• Lorsque vous pouvez accéder à des données qui ne vous appartiennent pas, il vous sera demandé de les supprimer. Vous devez vous conformer à cette demande, démontrer les mesures que vous avez prises pour vous assurer que les données ont été supprimées et confirmer la suppression aux Fermes Lufa pour pouvoir être admissible à une récompense.
• Veuillez ne pas essayer d'utiliser la force brute, les attaques par déni de service, l'hameçonnage ou les attaques d'ingénierie sociale contre les systèmes appartenant aux Fermes Lufa ou contre les employés des Fermes Lufa.

• Nous répondrons à votre signalement dans un délai de dix jours ouvrables en vous communiquant notre évaluation et la date prévue de la résolution du problème. Si vous avez suivi les instructions ci-dessus, nous ne prendrons aucune mesure juridique contre vous en relation avec le rapport.
• Nous traiterons votre rapport en confidentialité absolue et ne transmettrons pas vos données personnelles à des tiers sans votre autorisation.
• Nous vous tiendrons au courant des progrès réalisés dans la résolution du problème.
• Nous donnerons votre nom comme la personne ayant signalé la faille dans les informations publiques la concernant (sauf si vous préférez qu’il en soit autrement).

Nous nous engageons à résoudre toutes les failles le plus rapidement possible et nous souhaitons jouer un rôle dans la publication finale une fois celle-ci résolue.

• Nous n'offrons pas de récompenses monétaires pour les rapports à l'heure actuelle, mais nous honorons les contributeurs dans notre Temple de la renommée, reconnaissant vos précieuses contributions et votre expertise. Votre dévouement est célébré et apprécié dans ce prestigieux système de reconnaissance. Nous vous remercions pour l'impact significatif que vous avez eu.

• Détournement de clics sur des pages ne comportant pas d'actions sensibles
• Falsification de requête intersite (CSRF) sur des formulaires non authentifiés ou des formulaires ne comportant pas d'actions sensibles
• Attaques nécessitant une interception (MITM) ou un accès physique à l'appareil d'un utilisateur.
• Bibliothèques vulnérables connues antérieurement sans preuve de concept fonctionnelle.
• Absence de bonnes pratiques dans la configuration SSL/TLS.
• Toute activité susceptible d'entraîner une interruption de notre service (DoS).
• Problèmes d'usurpation de contenu et d'injection de texte sans montrer de vecteur d'attaque/sans pouvoir modifier HTML/CSS.
• Problèmes de limitation de débit ou de force brute
• Absence de bonnes pratiques dans la politique de sécurité du contenu.
• Absence de HttpOnly ou flag Secure sur les cookies.
• Absence de bonnes pratiques en matière de courrier électronique (enregistrements SPF/DKIM/DMARC invalides, incomplets ou manquants, etc.)
• Divulgation de la version du logiciel / problèmes d'identification de la bannière
• Tabnabbing
• Self XSS
• Énumération du nom d'utilisateur / de l'adresse courriel