Rapport Bug Bounty
Bentley s'engage à assurer la sécurité des données de ses utilisateurs et à faire preuve de transparence dans ce domaine. Nos normes et certifications solides en matière de confidentialité et de protection des données, de sécurité et de conformité en témoignent.
Lignes directrices du programme de divulgation responsable de Bentley Systems
At Bentley Systems, we take the security of our systems and products seriously, and we value the security community. The disclosure of security vulnerabilities helps us ensure the security and privacy of our users.
1. Recommandations génériques
Bentley Systems exige que tous les chercheurs
- évitent les violations de la vie privée, la dégradation de l'expérience utilisateur, l'interruption des systèmes de production et la destruction des données lors des tests de sécurité ;
- effectuent des recherches uniquement dans le cadre du champ d'application défini ci-dessous ;
- utilisent les canaux de communication définis ci-dessous pour nous communiquer des informations sur les vulnérabilités.
- gardent les informations sur les vulnérabilités que vous avez découvertes confidentielles entre vous et Bentley Systems jusqu'à ce qu'elles soient corrigées.
- ne pas intenter ou soutenir une action en justice liée à votre recherche ;
- travailler avec vous pour comprendre et résoudre rapidement le problème.
2. Code de conduite et responsabilités juridiques
Lorsque nous effectuons des recherches sur la vulnérabilité conformément à cette politique, nous considérons que ces recherches sont
- autorisées conformément au Computer Fraud and Abuse Act (CFAA) (ou des lois nationales similaires), et nous n'engagerons ni ne soutiendrons aucune action en justice à votre encontre en cas de violation accidentelle et de bonne foi de la présente politique ;
- exemptes du Digital Millennium Copyright Act (DMCA), et nous ne porterons pas plainte contre vous pour contournement des contrôles technologiques ;
- exemptes des restrictions prévues dans nos conditions générales qui entraveraient la recherche en matière de sécurité, et nous renonçons à ces restrictions sur une base limitée pour les travaux effectués dans le cadre de la présente politique ;
- légales, utiles à la sécurité générale de l'Internet et menées de bonne foi.
Comme toujours, vous êtes tenu(e) de respecter toutes les lois applicables. Si, à un moment ou à un autre, vous avez des inquiétudes ou des doutes quant à la conformité de votre recherche en matière de sécurité avec la présente politique, veuillez soumettre un rapport par l'intermédiaire de l'un de nos canaux de communication définis ci-dessous avant d'aller plus loin.
3. Champ d'application/Hors champ d'application
Champ d'application | Hors champ d'application |
---|---|
|
|
4. Vulnérabilités éligibles/Exclusions
Vulnérabilités éligibles | Exclusions |
---|---|
|
|
*Merci de ne faire un rapport qu'après avoir réalisé une démonstration de la faisabilité sous la forme de deux captures d'écran avec horodatage et d'un sous-domaine. Ces captures d'écran doivent prouver que le sous-domaine a été libre pendant au moins une heure. Les outils d'analyse détectent souvent le court laps de temps pendant lequel les modifications apportées au sous-domaine sont exécutées, ce qui peut sembler être une vulnérabilité mais ne l'est pas : l'enregistrement DNS est supprimé peu après. En soumettant les captures d'écran, vous éviterez les rapports de fausses vulnérabilités, ce qui vous fera gagner du temps, ainsi qu'à notre équipe.
Les rapports comportant une démonstration de la faisabilité partielle (une seule preuve d'horodatage ou aucune) ne seront pas traités comme un premier rapport.
NB : La prise en charge effective du sous-domaine signalé en tant que démonstration de la faisabilité est interdite.
5. Comment faire un rapport
Si vous pensez avoir trouvé une faille de sécurité dans l'un de nos produits ou l'une de nos plateformes, veuillez remplir le formulaire sur cette page.
A good practice is to think whether the discovered vulnerability puts at risk:
- Bentley Systems clients’ information.
- Bentley Systems software.
- Bentley Systems reputation.
Assurez-vous d'avoir inclus les informations suivantes :
- Description détaillée de la vulnérabilité contenant des informations telles que l'URL, la requête/réponse HTTP complète et le type de vulnérabilité.
- Information necessary to reproduce the issue.
- Proof of concept including practical severity and attack scenario, indication of a potential risk only is hard to evaluate and usually such report is not approved.
- If applicable, a screenshot and/or video of the vulnerability.
- Coordonnées, nom, e-mail, numéro de téléphone, lieu. Les candidatures ne comportant pas ces informations ne seront pas prises en considération.
- IMPORTANT NOTE. You may only make the initial submission through the form. If you have any questions not mentioned in a form, please e-mail us at [email protected].
6. Règles d'engagement
- Le déni de service est strictement interdit.
- Toute forme d'attaque par force brute des identifiants est strictement interdite.
- Il est interdit d'informer le public d'une vulnérabilité signalée avant qu'elle n'ait été corrigée.
- Vous ne pouvez pas détruire ou dégrader nos performances ni violer la protection de la vie privée ou l'intégrité de nos utilisateurs et de leurs données.
- L'exploitation des vulnérabilités (autre qu'une démonstration de la faisabilité générique) est strictement interdite et fera l'objet de poursuites conformément à la législation applicable.
- Si une vulnérabilité permet un accès involontaire aux données, vous devez
- limiter la quantité de données auxquelles vous avez accès au minimum requis pour faire efficacement la démonstration de la faisabilité ; et
- cesser les essais ; et
- soumettre immédiatement un rapport si vous rencontrez des données d'utilisateur pendant les tests, telles que des informations personnelles identifiables, des informations personnelles sur la santé, des données de carte de crédit ou des informations propriétaires.
- Bentley ne répondra pas à l'extorsion ou à d'autres actes criminels coercitifs (par ex. les demandes de paiement anticipé en échange de la non-exploitation d'une vulnérabilité découverte.
7. Divulgation publique
À moins que notre équipe vous informe que la vulnérabilité a été résolue, veuillez ne pas divulguer publiquement la vulnérabilité pendant 90 jours. Le non-respect de cette obligation entraînera des poursuites judiciaires.
8. Doublons
- Only the first researcher to report an issue will be entitled for a reward.
- The reports of the same issue in different environments are not rewarded and closed as duplicates. (e.g. dev-*-bentley.com, qa- dev-*-bentley.com, prod- dev-*-bentley.com)
- The reports of the same issue in different deployment regions are not rewarded and closed as duplicates. (e.g. *.us.bentley.com, *.eus-bentley.com, *.in.-*-bentley.com)
- Multiple instances of the same issue will only be compensated to a max of 3x the reward sum. (e.g. expires SSL certificate on 25 domain and subdomains will count 3×100 USD, and not 25×100 USD)
9. Triage des vulnérabilités
- La vulnérabilité signalée sera analysée.
- You will be informed if the issue is closed without a reward. We do not send a detailed explanation of the resolution.
- If we determine the submission is valid and meets the requirements of this policy, you may receive a reward after the fix is implemented. Our commitment is to reward your efforts within 90 days.
10. Compensation
Exemples de vulnérabilité | Fourchette de prix (USD)** |
---|---|
Contrôle d'accès interrompu (escalade des privilèges) | 250-450 |
Problèmes relatifs à la logique d'entreprise | 100-300 |
Cross-Origin resource sharing (CORS) | 100-200 |
Cross-Site Request Forgery (CSRF) | 150-250 |
Cross-Site Scripting (XSS) | 100-200 |
DLL hijacking | 50 |
Injection dans un lien hypertexte | 50 |
Identification et authentification | 250-450 |
Référence d'objet directe non sécurisée (IDOR) | 250-450 |
Redirection ouverte | 50-150 |
Autre | 0-500 |
Exécution de code à distance | 600 |
Mauvaise configuration de la sécurité | 50-250 |
Exposition de données sensibles | 50-200 |
Secrets leak | 200-500 |
Mauvaise configuration de la session | 50-200 |
Injection SQL | 250-500 |
NOTE. A report will not be eligible for a financial reward (even if Bentley Systems accepts and addresses it) in some situations including, but not limited to, the following:
- report was submitted by current of former employee of Bentley Systems
- report was submitted by the commercial entities or individuals conducting formal/commercial security testing on behalf of Bentley Systems customers.
- report was submitted by the employee or subcontractors of a company that is a customer of Bentley Systems services.
- report was submitted by the employee of the company that is a Bentley System’s service provider.
- report was submitted by an individual residing in a country that is currently subject to international sanctions.
- Bentley System’s legal department fails to associate researcher’s PayPal email address and the identity; meaning that you cannot get the reward to somebody’s else account.
**Notez que les instances multiples du même problème ne seront indemnisées qu'à hauteur de 3x le prix.
**Les signalements d'un problème dans différents environnements du produit (dev-, qa-, prod-) seront comptés comme un seul.
Nous nous réservons le droit de modifier la présente politique à tout moment et pour quelque raison que ce soit, et nous ne pouvons pas garantir de compensation pour tous les rapports. La compensation se fait uniquement par l'intermédiaire de PayPal.
IMPORTANT. Veillez à n'envoyer qu'une adresse PayPal valide : nous ne pourrons pas prendre en compte les adresses autres que l'adresse originale pour le paiement. Si la transaction échoue pour quelque raison que ce soit (par ex. PayPal refuse la transaction ; la banque destinataire ne peut pas accepter le paiement ; la limite du montant maximal est atteinte, l'acceptation des paiements se fait uniquement par le biais du site Web ou d'autres instructions, etc.), le paiement sera annulé et ne sera pas soumis à nouveau.
Bentley Systems se réserve le droit de retirer le programme de divulgation responsable et son système de compensation à tout moment et sans préavis.
Déposer un rapport
Table des matières
Bentley Systems exige que tous les chercheurs
- évitent les violations de la vie privée, la dégradation de l'expérience utilisateur, l'interruption des systèmes de production et la destruction des données lors des tests de sécurité ;
- effectuent des recherches uniquement dans le cadre du champ d'application défini ci-dessous ;
- utilisent les canaux de communication définis ci-dessous pour nous communiquer des informations sur les vulnérabilités.
- gardent les informations sur les vulnérabilités que vous avez découvertes confidentielles entre vous et Bentley Systems jusqu'à ce qu'elles soient corrigées.
- ne pas intenter ou soutenir une action en justice liée à votre recherche ;
- travailler avec vous pour comprendre et résoudre rapidement le problème.
Lorsque nous effectuons des recherches sur la vulnérabilité conformément à cette politique, nous considérons que ces recherches sont
- autorisées conformément au Computer Fraud and Abuse Act (CFAA) (ou des lois nationales similaires), et nous n'engagerons ni ne soutiendrons aucune action en justice à votre encontre en cas de violation accidentelle et de bonne foi de la présente politique ;
- exemptes du Digital Millennium Copyright Act (DMCA), et nous ne porterons pas plainte contre vous pour contournement des contrôles technologiques ;
- exemptes des restrictions prévues dans nos conditions générales qui entraveraient la recherche en matière de sécurité, et nous renonçons à ces restrictions sur une base limitée pour les travaux effectués dans le cadre de la présente politique ;
- légales, utiles à la sécurité générale de l'Internet et menées de bonne foi.
Comme toujours, vous êtes tenu(e) de respecter toutes les lois applicables. Si, à un moment ou à un autre, vous avez des inquiétudes ou des doutes quant à la conformité de votre recherche en matière de sécurité avec la présente politique, veuillez soumettre un rapport par l'intermédiaire de l'un de nos canaux de communication définis ci-dessous avant d'aller plus loin.
Champ d'application |
---|
|
Hors champ d'application |
|
Vulnérabilités éligibles |
---|
|
Exclusions |
|
Si vous pensez avoir trouvé une faille de sécurité dans l'un de nos produits ou l'une de nos plateformes, veuillez remplir le formulaire sur cette page.
Assurez-vous d'avoir inclus les informations suivantes :
- Description détaillée de la vulnérabilité contenant des informations telles que l'URL, la requête/réponse HTTP complète et le type de vulnérabilité.
- Informations nécessaires pour reproduire le problème.
- Le cas échéant, une capture d'écran et/ou une vidéo de la vulnérabilité.
- Coordonnées, nom, e-mail, numéro de téléphone, lieu. Les candidatures ne comportant pas ces informations ne seront pas prises en considération.
- REMARQUE IMPORTANTE. Vous ne pouvez effectuer la soumission initiale que par l'intermédiaire du formulaire. Si vous avez des questions qui ne sont pas mentionnées dans un formulaire, veuillez nous envoyer un courrier électronique à l'adresse suivante : [e-mail protégé].
- Le déni de service est strictement interdit.
- Toute forme d'attaque par force brute des identifiants est strictement interdite.
- Il est interdit d'informer le public d'une vulnérabilité signalée avant qu'elle n'ait été corrigée.
- Vous ne pouvez pas détruire ou dégrader nos performances ni violer la protection de la vie privée ou l'intégrité de nos utilisateurs et de leurs données.
- L'exploitation des vulnérabilités (autre qu'une démonstration de la faisabilité générique) est strictement interdite et fera l'objet de poursuites conformément à la législation applicable.
- Si une vulnérabilité permet un accès involontaire aux données, vous devez
- limiter la quantité de données auxquelles vous avez accès au minimum requis pour faire efficacement la démonstration de la faisabilité ; et
- cesser les essais ; et
- soumettre immédiatement un rapport si vous rencontrez des données d'utilisateur pendant les tests, telles que des informations personnelles identifiables, des informations personnelles sur la santé, des données de carte de crédit ou des informations propriétaires.
- Bentley ne répondra pas à l'extorsion ou à d'autres actes criminels coercitifs (par ex. les demandes de paiement anticipé en échange de la non-exploitation d'une vulnérabilité découverte.
À moins que notre équipe vous informe que la vulnérabilité a été résolue, veuillez ne pas divulguer publiquement la vulnérabilité pendant 90 jours. Le non-respect de cette obligation entraînera des poursuites judiciaires.
Seul le premier chercheur à signaler un problème ou des problèmes similaires sera pris en compte dans le cadre de cette politique. Cela inclut les rapports sur le même problème dans différents environnements (par exemple, dev-, qa-, prod-).
Une fois votre demande reçue :
- La vulnérabilité signalée sera analysée.
- Si nous déterminons que la demande est valable et qu'elle répond aux prérequis de la présente politique, vous pouvez recevoir une compensation.
- Vous serez informé lorsque le problème sera résolu.
Exemples de vulnérabilité | Fourchette de prix (USD)** |
---|---|
Contrôle d'accès interrompu (escalade des privilèges) | 200-400 |
Problèmes relatifs à la logique d'entreprise | 100-300 |
Cross-Origin resource sharing (CORS) | 100-200 |
Cross-Site Request Forgery (CSRF) | 100-200 |
Cross-Site Scripting (XSS) | 50-150 |
Directory Traversal | 100-200 |
DLL hijacking | 100-200 |
Injection dans un lien hypertexte | 50 |
Identification et authentification | 200-400 |
Référence d'objet directe non sécurisée (IDOR) | 200-400 |
Redirection ouverte | 50-150 |
Autre | 0-500 |
Exécution de code à distance | 500 |
Mauvaise configuration de la sécurité | 50-200 |
Exposition de données sensibles | 50-500 |
Mauvaise configuration de la session | 50-150 |
Injection SQL | 200-400 |