Accueil / Rapport Bug Bounty

Rapport Bug Bounty

Rapport Bug Bounty

Bentley s'engage à assurer la sécurité des données de ses utilisateurs et à faire preuve de transparence dans ce domaine. Nos normes et certifications solides en matière de confidentialité et de protection des données, de sécurité et de conformité en témoignent.

Lignes directrices du programme de divulgation responsable de Bentley Systems

AT Bentley Systèmes, nous prenons the Sécurité les notre systèmes et Produits au sérieux, et nous accordons de l'importance the Sécurité à la communauté. Le divulgation les Sécurité vulnérabilités contribue à US garantir la sécurité et la confidentialité de nos utilisateurs. 

1. Recommandations génériques

Bentley Systems exige que tous les chercheurs

  • évitent les violations de la vie privée, la dégradation de l'expérience utilisateur, l'interruption des systèmes de production et la destruction des données lors des tests de sécurité ;
  • effectuent des recherches uniquement dans le cadre du champ d'application défini ci-dessous ;
  • utilisent les canaux de communication définis ci-dessous pour nous communiquer des informations sur les vulnérabilités.
  • gardent les informations sur les vulnérabilités que vous avez découvertes confidentielles entre vous et Bentley Systems jusqu'à ce qu'elles soient corrigées.
Si vous suivez ces recommandations lorsque vous nous signalez un problème, nous nous engageons à
 
  • ne pas intenter ou soutenir une action en justice liée à votre recherche ;
  • travailler avec vous pour comprendre et résoudre rapidement le problème.

2. Code de conduite et responsabilités juridiques

Lorsque nous effectuons des recherches sur la vulnérabilité conformément à cette politique, nous considérons que ces recherches sont

  • autorisées conformément au Computer Fraud and Abuse Act (CFAA) (ou des lois nationales similaires), et nous n'engagerons ni ne soutiendrons aucune action en justice à votre encontre en cas de violation accidentelle et de bonne foi de la présente politique ;
  • exemptes du Digital Millennium Copyright Act (DMCA), et nous ne porterons pas plainte contre vous pour contournement des contrôles technologiques ;
  • exemptes des restrictions prévues dans nos conditions générales qui entraveraient la recherche en matière de sécurité, et nous renonçons à ces restrictions sur une base limitée pour les travaux effectués dans le cadre de la présente politique ;
  • légales, utiles à la sécurité générale de l'Internet et menées de bonne foi.

Comme toujours, vous êtes tenu(e) de respecter toutes les lois applicables. Si, à un moment ou à un autre, vous avez des inquiétudes ou des doutes quant à la conformité de votre recherche en matière de sécurité avec la présente politique, veuillez soumettre un rapport par l'intermédiaire de l'un de nos canaux de communication définis ci-dessous avant d'aller plus loin.

3. Champ d'application/Hors champ d'application

Champ d'applicationHors champ d'application
  • Tous les sous-domaines de _.bentley.com
  • Tous les produits de bureau de Bentley Systems (uniquement CONNECT Edition et versions ultérieures)
  • Toutes les applications mobiles Bentley Systems
  • Toutes les applications et tous les services de cloud de Bentley
  • Tous les projets Bentley Open Source (y compris imodeljs.org)
  • Infrastructure de Bentley Systems (VPN, Mail Server, SharePoint, Skype, etc.)
  • Résultats des tests physiques, tels que l'accès aux bureaux (par exemple, portes ouvertes,non respect des distances de sécurité)
  • Résultats provenant principalement de l'ingénierie sociale (par exemple, hameçonnage, hameçonnage vocal)
  • Résultats obtenus à partir d'applications ou de systèmes ne figurant pas dans la section « Champ d'application ».
  • Bugs et fautes d'orthographe de l'interface utilisateur et de l'interface graphique
  • Vulnérabilités en matière de déni de service au niveau du réseau (DoS/DDoS)
  • Tous les services hébergés par des fournisseurs et des services de tierce partie
  • https://www.plaxis.ru
  • https://communities.bentley.com Les rapports des communautés doivent être soumis directement à Telligent.
  • Les rapports de Synchro Academy doivent être soumis directement à Cypher Learning.
  • https://yii.bentley.com/en

 

4. Vulnérabilités éligibles/Exclusions

Vulnérabilités éligiblesExclusions
  • Contrôle d'accès interrompu (escalade des privilèges)
  • Problèmes relatifs à la logique d'entreprise
  • Cross-Origin resource sharing (CORS)
  • Cross-Site Request Forgery (CSRF)
  • Cross-Site Scripting (XSS)
  • Directory Traversal
  • DLL hijacking
  • Injection dans un lien hypertexte
  • Identification et authentification
  • Référence d'objet directe non sécurisée (IDOR)
  • Redirection ouverte
  • Autre
  • Exécution de code à distance
  • Mauvaise configuration de la sécurité
  • Exposition de données sensibles
  • Mauvaise configuration de la session
  • Injection SQL
  • Prise de contrôle d'un sous-domaine*
  • Problèmes liés à Word-press
  • Les bogues de logiciels Internet rendus publics dans les 15 jours suivant leur divulgation
  • Les techniques de spam ou d'ingénierie sociale, y compris les problèmes liés à SPF et DKIM
  • Self-XSS (nous demandons des preuves sur la façon dont le XSS peut être utilisé pour attaquer un autre utilisateur)
  • Attaque en lien avec X-Frame-Option (clickjacking)
  • Vulnérabilité de la limite de taux (à moins qu'une démonstration de la faisabilité d'exploitation valide ne soit fournie)
  • Le fichier XMLRPC.php est activé, ce qui peut mener à des attaques DoS
  • Indicateurs de cookies manquants pour les cookies non sensibles
  • En-têtes de sécurité manquants qui ne mènent pas directement à une vulnérabilité (à moins que vous ne fournissiez une démonstration de la faisabilité)
  • Injection d'en-tête (à moins que vous ne puissiez montrer comment ils peuvent conduire au vol de données utilisateur)
  • Exposition de la version (à moins que vous ne fournissiez une démonstration de la faisabilité d'une exploitation qui fonctionne).
  • Problèmes non exploitables mais entraînant des plantages, des traces d'appels, des fuites d'informations similaires ou des problèmes de stabilité.
  • Déni de service
  • Tout ce qui nécessite des navigateurs, des plates-formes ou de la cryptographie obsolètes (par ex. TLS BEAST, POODLE, etc.)
  • Tout ce qui provient d'un balayage automatique, tout ce qui est déjà public ou tout ce qui n'est pas sous le contrôle de Bentley Systems (par ex. Google Analytics, etc.)
  • Des questions théoriques qui n'ont pas de portée pratique

*Merci de ne faire un rapport qu'après avoir réalisé une démonstration de la faisabilité sous la forme de deux captures d'écran avec horodatage et d'un sous-domaine. Ces captures d'écran doivent prouver que le sous-domaine a été libre pendant au moins une heure. Les outils d'analyse détectent souvent le court laps de temps pendant lequel les modifications apportées au sous-domaine sont exécutées, ce qui peut sembler être une vulnérabilité mais ne l'est pas : l'enregistrement DNS est supprimé peu après. En soumettant les captures d'écran, vous éviterez les rapports de fausses vulnérabilités, ce qui vous fera gagner du temps, ainsi qu'à notre équipe.

Les rapports comportant une démonstration de la faisabilité partielle (une seule preuve d'horodatage ou aucune) ne seront pas traités comme un premier rapport.

NB : La prise en charge effective du sous-domaine signalé en tant que démonstration de la faisabilité est interdite.

 

5. Comment faire un rapport

Si vous pensez avoir trouvé une faille de sécurité dans l'un de nos produits ou l'une de nos plateformes, veuillez remplir le formulaire sur cette page.

Assurez-vous d'avoir inclus les informations suivantes :

  • Description détaillée de la vulnérabilité contenant des informations telles que l'URL, la requête/réponse HTTP complète et le type de vulnérabilité.
  • Informations nécessaires pour reproduire le problème.
  • Le cas échéant, une capture d'écran et/ou une vidéo de la vulnérabilité.
  • Coordonnées, nom, e-mail, numéro de téléphone, lieu. Les candidatures ne comportant pas ces informations ne seront pas prises en considération.
  • REMARQUE IMPORTANTE. Vous ne pouvez effectuer la soumission initiale que par l'intermédiaire du formulaire. Si vous avez des questions qui ne sont pas mentionnées dans un formulaire, veuillez nous envoyer un courrier électronique à l'adresse suivante : [e-mail protégé].

6. Règles d'engagement

  • Le déni de service est strictement interdit.
  • Toute forme d'attaque par force brute des identifiants est strictement interdite.
  • Il est interdit d'informer le public d'une vulnérabilité signalée avant qu'elle n'ait été corrigée.
  • Vous ne pouvez pas détruire ou dégrader nos performances ni violer la protection de la vie privée ou l'intégrité de nos utilisateurs et de leurs données.
  • L'exploitation des vulnérabilités (autre qu'une démonstration de la faisabilité générique) est strictement interdite et fera l'objet de poursuites conformément à la législation applicable.
  • Si une vulnérabilité permet un accès involontaire aux données, vous devez
    • limiter la quantité de données auxquelles vous avez accès au minimum requis pour faire efficacement la démonstration de la faisabilité ; et
    • cesser les essais ; et
    • soumettre immédiatement un rapport si vous rencontrez des données d'utilisateur pendant les tests, telles que des informations personnelles identifiables, des informations personnelles sur la santé, des données de carte de crédit ou des informations propriétaires.
  • Bentley ne répondra pas à l'extorsion ou à d'autres actes criminels coercitifs (par ex. les demandes de paiement anticipé en échange de la non-exploitation d'une vulnérabilité découverte.

7. Divulgation publique

À moins que notre équipe vous informe que la vulnérabilité a été résolue, veuillez ne pas divulguer publiquement la vulnérabilité pendant 90 jours. Le non-respect de cette obligation entraînera des poursuites judiciaires.

8. Doublons

Seul le premier chercheur à signaler un problème ou des problèmes similaires sera pris en compte dans le cadre de cette politique. Cela inclut les rapports sur le même problème dans différents environnements (par exemple, dev-, qa-, prod-).

9. Triage des vulnérabilités

Une fois votre demande reçue :

  • La vulnérabilité signalée sera analysée.
  • Si nous déterminons que la demande est valable et qu'elle répond aux prérequis de la présente politique, vous pouvez recevoir une compensation.
  • Vous serez informé lorsque le problème sera résolu.

10. Compensation

Exemples de vulnérabilitéFourchette de prix (USD)**
Contrôle d'accès interrompu (escalade des privilèges)250-450
Problèmes relatifs à la logique d'entreprise100-300
Cross-Origin resource sharing (CORS)100-200
Cross-Site Request Forgery (CSRF)150-250
Cross-Site Scripting (XSS)100-200
DLL hijacking50
Injection dans un lien hypertexte50
Identification et authentification250-450
Référence d'objet directe non sécurisée (IDOR)250-450
Redirection ouverte50-150
Autre0-500
Exécution de code à distance600
Mauvaise configuration de la sécurité50-250
Exposition de données sensibles50-200
Secrets leak200-500
Mauvaise configuration de la session50-200
Injection SQL250-500
 
Les rapports sur la vulnérabilité provenant des utilisateurs de Bentley Systems seront traités. Cependant, les utilisateurs ne sont pas éligibles à des récompenses financières en vertu des règles du programme de divulgation responsable.

Les rapports soumis par des entités commerciales ou des personnes effectuant des tests de sécurité formels/commerciaux pour le compte d'utilisateurs de Bentley Systems ne donnent pas non plus droit à des récompenses financières.

**Notez que les instances multiples du même problème ne seront indemnisées qu'à hauteur de 3x le prix.

**Les signalements d'un problème dans différents environnements du produit (dev-, qa-, prod-) seront comptés comme un seul.

Nous nous réservons le droit de modifier la présente politique à tout moment et pour quelque raison que ce soit, et nous ne pouvons pas garantir de compensation pour tous les rapports. La compensation se fait uniquement par l'intermédiaire de PayPal. 

IMPORTANT. Veillez à n'envoyer qu'une adresse PayPal valide : nous ne pourrons pas prendre en compte les adresses autres que l'adresse originale pour le paiement. Si la transaction échoue pour quelque raison que ce soit (par ex. PayPal refuse la transaction ; la banque destinataire ne peut pas accepter le paiement ; la limite du montant maximal est atteinte, l'acceptation des paiements se fait uniquement par le biais du site Web ou d'autres instructions, etc.), le paiement sera annulé et ne sera pas soumis à nouveau.

Bentley Systems se réserve le droit de retirer le programme de divulgation responsable et son système de compensation à tout moment et sans préavis.

Déposer un rapport

Table des matières

Bentley Systems exige que tous les chercheurs

  • évitent les violations de la vie privée, la dégradation de l'expérience utilisateur, l'interruption des systèmes de production et la destruction des données lors des tests de sécurité ;
  • effectuent des recherches uniquement dans le cadre du champ d'application défini ci-dessous ;
  • utilisent les canaux de communication définis ci-dessous pour nous communiquer des informations sur les vulnérabilités.
  • gardent les informations sur les vulnérabilités que vous avez découvertes confidentielles entre vous et Bentley Systems jusqu'à ce qu'elles soient corrigées.
Si vous suivez ces recommandations lorsque vous nous signalez un problème, nous nous engageons à
 
  • ne pas intenter ou soutenir une action en justice liée à votre recherche ;
  • travailler avec vous pour comprendre et résoudre rapidement le problème.

Lorsque nous effectuons des recherches sur la vulnérabilité conformément à cette politique, nous considérons que ces recherches sont

  • autorisées conformément au Computer Fraud and Abuse Act (CFAA) (ou des lois nationales similaires), et nous n'engagerons ni ne soutiendrons aucune action en justice à votre encontre en cas de violation accidentelle et de bonne foi de la présente politique ;
  • exemptes du Digital Millennium Copyright Act (DMCA), et nous ne porterons pas plainte contre vous pour contournement des contrôles technologiques ;
  • exemptes des restrictions prévues dans nos conditions générales qui entraveraient la recherche en matière de sécurité, et nous renonçons à ces restrictions sur une base limitée pour les travaux effectués dans le cadre de la présente politique ;
  • légales, utiles à la sécurité générale de l'Internet et menées de bonne foi.

Comme toujours, vous êtes tenu(e) de respecter toutes les lois applicables. Si, à un moment ou à un autre, vous avez des inquiétudes ou des doutes quant à la conformité de votre recherche en matière de sécurité avec la présente politique, veuillez soumettre un rapport par l'intermédiaire de l'un de nos canaux de communication définis ci-dessous avant d'aller plus loin.

Champ d'application
  • Tous les sous-domaines de _.bentley.com
  • Tous les produits de bureau de Bentley Systems (uniquement CONNECT Edition et versions ultérieures)
  • Toutes les applications mobiles Bentley Systems
  • Toutes les applications et tous les services de cloud de Bentley
  • Tous les projets Bentley Open Source (y compris imodeljs.org)
Hors champ d'application
Vulnérabilités éligibles
  • Contrôle d'accès interrompu (escalade des privilèges)
  • Problèmes relatifs à la logique d'entreprise
  • Cross-Origin resource sharing (CORS)
  • Cross-Site Request Forgery (CSRF)
  • Cross-Site Scripting (XSS)
  • Directory Traversal
  • DLL hijacking
  • Injection dans un lien hypertexte
  • Identification et authentification
  • Référence d'objet directe non sécurisée (IDOR)
  • Redirection ouverte
  • Autre
  • Exécution de code à distance
  • Mauvaise configuration de la sécurité
  • Exposition de données sensibles
  • Mauvaise configuration de la session
  • Injection SQL
  • Prise de contrôle d'un sous-domaine*
  • Problèmes liés à Word-press
Exclusions
  • Les bogues de logiciels Internet rendus publics dans les 15 jours suivant leur divulgation
  • Les techniques de spam ou d'ingénierie sociale, y compris les problèmes liés à SPF et DKIM
  • Self-XSS (nous demandons des preuves sur la façon dont le XSS peut être utilisé pour attaquer un autre utilisateur)
  • Attaque en lien avec X-Frame-Option (clickjacking)
  • Vulnérabilité de la limite de taux (à moins qu'une démonstration de la faisabilité d'exploitation valide ne soit fournie)
  • Le fichier XMLRPC.php est activé, ce qui peut mener à des attaques DoS
  • Indicateurs de cookies manquants pour les cookies non sensibles
  • En-têtes de sécurité manquants qui ne mènent pas directement à une vulnérabilité (à moins que vous ne fournissiez une démonstration de la faisabilité)
  • Injection d'en-têtes (à moins que vous ne puissiez montrer comment ils peuvent conduire au vol de données utilisateur)
  • Exposition de la version (à moins que vous ne fournissiez une démonstration de la faisabilité d'une exploitation qui fonctionne).
  • Problèmes non exploitables mais entraînant des plantages, des traces d'appels, des fuites d'informations similaires ou des problèmes de stabilité.
  • Déni de service
  • Tout ce qui nécessite des navigateurs, des plates-formes ou de la cryptographie obsolètes (par ex. TLS BEAST, POODLE, etc.)
  • Tout ce qui provient d'un balayage automatique, tout ce qui est déjà public ou tout ce qui n'est pas sous le contrôle de Bentley Systems (par ex. Google Analytics, etc.)
  • Des questions théoriques qui n'ont pas de portée pratique

*Merci de ne faire un rapport qu'après avoir réalisé une démonstration de la faisabilité sous la forme de deux captures d'écran avec horodatage et d'un sous-domaine. Ces captures d'écran doivent prouver que le sous-domaine a été libre pendant au moins une heure. Les outils d'analyse détectent souvent le court laps de temps pendant lequel les modifications apportées au sous-domaine sont exécutées, ce qui peut sembler être une vulnérabilité mais ne l'est pas : l'enregistrement DNS est supprimé peu après. En soumettant les captures d'écran, vous éviterez les rapports de fausses vulnérabilités, ce qui vous fera gagner du temps, ainsi qu'à notre équipe.

Les rapports comportant une démonstration de la faisabilité partielle (une seule preuve d'horodatage ou aucune) ne seront pas traités comme un premier rapport.

NB : La prise en charge effective du sous-domaine signalé en tant que démonstration de la faisabilité est interdite.

Si vous pensez avoir trouvé une faille de sécurité dans l'un de nos produits ou l'une de nos plateformes, veuillez remplir le formulaire sur cette page.

Assurez-vous d'avoir inclus les informations suivantes :

  • Description détaillée de la vulnérabilité contenant des informations telles que l'URL, la requête/réponse HTTP complète et le type de vulnérabilité.
  • Informations nécessaires pour reproduire le problème.
  • Le cas échéant, une capture d'écran et/ou une vidéo de la vulnérabilité.
  • Coordonnées, nom, e-mail, numéro de téléphone, lieu. Les candidatures ne comportant pas ces informations ne seront pas prises en considération.
  • REMARQUE IMPORTANTE. Vous ne pouvez effectuer la soumission initiale que par l'intermédiaire du formulaire. Si vous avez des questions qui ne sont pas mentionnées dans un formulaire, veuillez nous envoyer un courrier électronique à l'adresse suivante : [e-mail protégé].
  • Le déni de service est strictement interdit.
  • Toute forme d'attaque par force brute des identifiants est strictement interdite.
  • Il est interdit d'informer le public d'une vulnérabilité signalée avant qu'elle n'ait été corrigée.
  • Vous ne pouvez pas détruire ou dégrader nos performances ni violer la protection de la vie privée ou l'intégrité de nos utilisateurs et de leurs données.
  • L'exploitation des vulnérabilités (autre qu'une démonstration de la faisabilité générique) est strictement interdite et fera l'objet de poursuites conformément à la législation applicable.
  • Si une vulnérabilité permet un accès involontaire aux données, vous devez
    • limiter la quantité de données auxquelles vous avez accès au minimum requis pour faire efficacement la démonstration de la faisabilité ; et
    • cesser les essais ; et
    • soumettre immédiatement un rapport si vous rencontrez des données d'utilisateur pendant les tests, telles que des informations personnelles identifiables, des informations personnelles sur la santé, des données de carte de crédit ou des informations propriétaires.
  • Bentley ne répondra pas à l'extorsion ou à d'autres actes criminels coercitifs (par ex. les demandes de paiement anticipé en échange de la non-exploitation d'une vulnérabilité découverte.

À moins que notre équipe vous informe que la vulnérabilité a été résolue, veuillez ne pas divulguer publiquement la vulnérabilité pendant 90 jours. Le non-respect de cette obligation entraînera des poursuites judiciaires.

Seul le premier chercheur à signaler un problème ou des problèmes similaires sera pris en compte dans le cadre de cette politique. Cela inclut les rapports sur le même problème dans différents environnements (par exemple, dev-, qa-, prod-).

Une fois votre demande reçue :

  • La vulnérabilité signalée sera analysée.
  • Si nous déterminons que la demande est valable et qu'elle répond aux prérequis de la présente politique, vous pouvez recevoir une compensation.
  • Vous serez informé lorsque le problème sera résolu.
Exemples de vulnérabilité Fourchette de prix (USD)**
Contrôle d'accès interrompu (escalade des privilèges) 200-400
Problèmes relatifs à la logique d'entreprise 100-300
Cross-Origin resource sharing (CORS) 100-200
Cross-Site Request Forgery (CSRF) 100-200
Cross-Site Scripting (XSS) 50-150
Directory Traversal 100-200
DLL hijacking 100-200
Injection dans un lien hypertexte 50
Identification et authentification 200-400
Référence d'objet directe non sécurisée (IDOR) 200-400
Redirection ouverte 50-150
Autre 0-500
Exécution de code à distance 500
Mauvaise configuration de la sécurité 50-200
Exposition de données sensibles 50-500
Mauvaise configuration de la session 50-150
Injection SQL 200-400
**Notez que les instances multiples du même problème ne seront indemnisées qu'à hauteur de 3x le prix. **Les signalements d'un problème dans différents environnements du produit (dev-, qa-, prod-) seront comptés comme un seul. Nous nous réservons le droit de modifier la présente politique à tout moment et pour quelque raison que ce soit, et nous ne pouvons pas garantir de compensation pour tous les rapports. La compensation se fait uniquement par l'intermédiaire de PayPal. 

IMPORTANT. Veillez à n'envoyer qu'une adresse PayPal valide : nous ne pourrons pas prendre en compte les adresses autres que l'adresse originale pour le paiement. Si la transaction échoue pour quelque raison que ce soit (par ex. PayPal refuse la transaction ; la banque destinataire ne peut pas accepter le paiement ; la limite du montant maximal est atteinte, l'acceptation des paiements se fait uniquement par le biais du site Web ou d'autres instructions, etc.), le paiement sera annulé et ne sera pas soumis à nouveau.

Bentley Systems se réserve le droit de retirer le programme de divulgation responsable et son système de compensation à tout moment et sans préavis.