Ça m'intéresse
Open mobile menu
fr
Se connecter Ça m'intéresse
Se connecter Ça m'intéresse

Politique de divulgation des vulnérabilités

Introduction

Chez Criteo, la sécurité de nos produits et services revêt une importance capitale. Notre objectif est d’offrir à nos clients et utilisateurs la meilleure expérience possible, tout en garantissant la protection et la sécurité des informations et données qui nous sont confiées. Dans cette optique, nous encourageons la divulgation responsable et éthique des vulnérabilités potentielles par les chercheurs en sécurité et le grand public. Cette politique définit nos attentes en matière de divulgation responsable des vulnérabilités et décrit le processus mis en œuvre pour y répondre.

Autorisation

Si vous respectez cette politique dans le cadre de vos recherches, Criteo considérera que vos actions sont autorisées et n’engagera aucune procédure judiciaire contre vous.

Nos engagements

Lorsque vous nous signalez un incident conformément à cette politique, vous pouvez attendre à ce que nous :

  • répondions à votre rapport dans un délai de 3 jours ouvrables et collaborions avec vous pour le comprendre et y remédier
  • prenions les mesures nécessaires pour corriger les vulnérabilités mentionnées dans le rapport dès que possible, sauf si celles-ci correspondent à un risque accepté de notre part
  • vous tenions informé de l’avancement de la résolution de l’incident
  • gardions confidentielles les informations vous concernant ainsi que la vulnérabilité que vous signalez, sauf s’il en a été convenu autrement
  • vous récompensions conformément à ce qui est décrit dans la section dédiée aux récompenses

Directives

Pour que vos recherches soient considérées comme une activité autorisée au regard de cette politique, vous devez :

  • Agir de bonne foi et éviter d’utiliser les systèmes et applications de manière abusive, ce qui pourrait nuire à Criteo ou à nos clients
  • Veuillez nous prévenir dès que vous détectez une vulnérabilité réelle ou potentielle
  • ne divulguions l’incident publiquement qu’après le déploiement d’un correctif, et uniquement sur la base d’un accord mutuel. Cet accord précisera le moment de la divulgation ainsi que le niveau de détail requis

et vous ne devez pas :

  • Accéder à, modifier ou supprimer des données appartenant à des comptes utilisateurs que vous n’avez pas créés vous-même
  • Utiliser des outils hautement invasifs ou destructeurs
  • soumettre un grand nombre de rapports de faible qualité (par exemple, en copiant simplement les résultats d’outils de scan)
  • employer l’une des méthodes de test suivantes :
    • Tests de déni de service réseau (DoS ou DDoS) ou autres tests susceptibles de perturber l’accès à un système ou d’endommager des données
    • Tests physiques (p. ex. : accès aux bureaux, ouverture de portes, tailgating)
    • Ingénierie sociale (p. ex. : phishing, vishing) ou tout autre test de vulnérabilité non technique
  • Communiquer vos découvertes à tout tiers sans autorisation écrite préalable de Criteo
  • Utiliser un exploit pour compromettre ou exfiltrer des données, établir un accès en ligne de commande persistant ou basculer vers d’autres systèmes. Les exploits ne doivent être utilisés que dans la mesure nécessaire pour confirmer la présence d’une vulnérabilité. En cas de doute, veuillez nous signaler le problème afin que nous puissions le confirmer.

Dès que vous constatez qu’une vulnérabilité existe ou dès que vous tombez sur des données sensibles (y compris des PII, des informations financières ou des informations propriétaires et secrets commerciaux de toute partie), vous devez interrompre votre test, nous en avertir immédiatement et ne divulguer ces données à personne.

Champ d’application

Cette politique s’applique à toutes les ressources numériques que Criteo possède, exploite ou maintient. Elle exclut les services tiers accessibles via l’un de nos sous-domaines ou intégrés à l’un de nos produits.

Un champ d’application détaillé et actualisé est disponible dans notre politique sur BugCrowd.

Récompenses

Criteo peut accorder une reconnaissance et des récompenses à toute personne qui nous signale de manière responsable et éthique des problèmes de sécurité, à condition qu’elle respecte cette politique. Le montant de la récompense, le cas échéant, sera déterminé à notre discrétion en fonction de plusieurs paramètres, notamment la gravité de la vulnérabilité, son impact et la qualité du signalement.

En général, le montant de la récompense variera de 175 USD pour les vulnérabilités à faible impact à 4500 USD pour les plus critiques.

Veuillez noter que toutes les récompenses sont gérées via notre programme privé sur BugCrowd, et qu’un compte BugCrowd est requis pour les percevoir.

Signaler une vulnérabilité

Nos récompenses sont versées exclusivement via BugCrowd. Pour signaler une vulnérabilité de sécurité potentielle, veuillez créer un rapport sur cette plateforme en y incluant une description détaillée et les étapes permettant de reproduire votre découverte.

Si vous ne faites pas actuellement partie de notre programme privé de bug bounty, vous pouvez nous envoyer un e-mail contenant votre identifiant BugCrowd à security@criteo.com, et nous vous adresserons une invitation si vous remplissez nos critères d’éligibilité.

Pour signaler une vulnérabilité de sécurité potentielle, vous pouvez également nous envoyer votre rapport par un e-mail avec une description détaillée et les étapes permettant de reproduire votre découverte.

Clients

Si vous êtes client, veuillez noter qu’en plus de notre programme de bug bounty, nous réalisons également des tests de pénétration réguliers dont vous pouvez demander les résultats à votre interlocuteur Criteo.

Questions

Si vous avez des questions concernant cette politique ou la sécurité des informations chez Criteo, contactez-nous à security@criteo.com.

Merci pour vos efforts afin de contribuer à la sécurité de Criteo. Nous apprécions votre aide pour rendre nos produits et services plus sûrs.