Reporter les vulnérabilités

Chez Yolt, la sécurité des services de banque en ligne est notre priorité. Nos spécialistes travaillent jour et nuit pour améliorer nos systèmes et nos procédures. Malgré les efforts déployés, la sécurité de nos systèmes peut présenter certaines failles.
Si vous en avez trouvé une, n’hésitez pas à nous la signaler. Cela permettra d’améliorer la sécurité et la fiabilité de nos systèmes, ensemble.
Une équipe d’experts en sécurité enquêtera et vous répondra par email dans les deux jours ouvrés.

Veuillez noter que publier vos conclusions avant d'avoir reçu une confirmation finale de notre part vous empêchera de recevoir votre récompense. Parlez donc à l’un de nos experts, donnez-leur le temps d’évaluer et de résoudre ce problème technique.

Dans quels cas, vous ne pourrez PAS utiliser ce programme
• Porter plainte au sujet de produits ou services Yolt
• Ou au sujet du service Web et des services bancaires par Internet ou mobile
• Reporter des problèmes liés aux questions monétaires
• Signaler toutes fraudes ou présomptions de fraude
• Signaler tous spams ou emails ‘phishing’
• Reporter tous logiciels malveillants
Politique de divulgation responsable
Avant de signaler toutes vulnérabilités, veuillez respecter les règles suivantes:
• Ne causer aucun dommage technique sur notre système durant votre ou notre enquête
• Ne pas utiliser d'ingénierie sociale pour accéder à nos systèmes informatiques
• Ne jamais laisser votre enquête perturber nos services en ligne et autres services
• Ne jamais publier les données bancaires ou de clients que vous auriez pu trouver au cours de votre enquête
• Ne jamais introduire de porte dérobée (backdoor) dans le système, même pour prouver une faille. L’insertion de porte dérobée causera des dommages sur la sécurité de nos systèmes.
• N'apporter aucune modification au système et ne supprimer aucune donnée. Si votre recherche vous oblige à copier les données du système, ne copier que les données qui vous sont nécessaires et pas plus
• Ne pénétrer dans le système uniquement pour les besoins de votre enquête. Si vous y avez réussi, ne partagez aucune de ces informations avec d’autres personnes.
• Ne pas recourir à la force pour pouvoir accéder au système (p. ex. entrer des mots de passe de façon répétée)
• Ne pas utiliser de techniques susceptibles d'affecter la disponibilité de nos services en ligne et autres
• Si les vulnérabilités signalées ont été résolues ou ont entraîné un changement dans nos services, vous serez admissible à une récompense
• Les vulnérabilités détectées par les employés ou anciens employés de Yolt sont exclus de toute récompense
• Si votre vulnérabilité a été signalée par d'autres personnes, la récompense sera accordée à la personne qui l'a signalée en premier
• Si plusieurs rapports ont été effectués pour le même type de vulnérabilité mais avec des différences mineures, ils seront traités comme un seul dossier (une seule personne sera alors récompensée)
• Si vous êtes admissible à une récompense, nous aurons besoin de vos coordonnées personnels pour vous offrir la récompense
• Les récompenses seront refusées si des abus ont été faits.
Droits et règlements internationaux

Les règlements en matière de divulgations responsables peuvent différer d'un pays à l'autre. Nous vous conseillons vivement de tenir compte de ces réglementations. L’enquête effectuée sur notre système informatique pourrait être considérée comme un délit au regard du droit local ou international. Vous risquerez peut-être des poursuites pénales. Si vous avez découvert sur Yolt une vulnérabilité, veuillez noter que les lois locales prévalent sur les droits Yolt. Si vous agissez de façon responsable et selon les règles Yolt, nous ne rapporterons pas vos actions aux autorités, à moins que la loi nous y oblige
Politique de confidentialité

Nous n’utiliserons vos données personnelles uniquement pour vous contacter ou pour entreprendre des actions concernant les vulnérabilités signalées. Nous ne vendrons, ne distribuerons ou ne louerons pas vos informations personnelles à des tiers à moins que nous n'ayons votre permission, que nous n'y soyons obligés conformément à la loi en vigueur ou qu’une organisation externe enquête sur votre dossier. Si c’est le cas, nous veillerons à ce que l’autorité compétente traite vos informations personnelles de manière confidentielle.
Reporter une vulnérabilité

Pour rapporter toutes vulnérabilités, veuillez nous envoyer un mail à security@yolt.com et utiliser le logiciel de chiffrement PGP. Veuillez aussi rédiger votre rapport de manière claire et concise, en incluant les éléments suivants :
• Etapes que vous avez entreprises
• URL complète
• Objets (comme filtres ou champs de saisie) éventuellement impliqués
• Preuve / preuve du concept / étapes de reproduction (vidéo, captures d'écran à fournir…)
• Risque ou exploitabilité
• Proposition d’une solution (facultatif mais fortement recommandée)
Nos spécialistes liront votre rapport et le traiteront immédiatement.
Vulnérabilités éligibles
Exemples de vulnérabilités que vous pourrez signaler:
• Exécution de code à distance
• Cross Site scripting (XSS)
• Cross Site Request Forgery (CSRF)
• Server Side Request Forgery (SSRF)
• Injection SQL
• Failles dans le cryptage
• Contournement d'authentification ou d’autorisation
Refus d'éligibilité
• Vulnérabilités théoriques sans preuve de concept réelle
• Vulnérabilités repérées sur des sites partenaires, ne faisant plus partis de Yolt
• Enregistrements SPF (Sender Policy Framework) invalides ou manquants (SPF / DKIM / DMARC incomplets ou manquants)
• Cross-Site Request Forgery (CSRF) ayant un impact minime sur la sécurité
• Redirection HTTP vers HTTPS
• HTML ne spécifiant pas de charset
• HTML utilisant un charset non reconnu
• Signalement de cookies sans http
• Absence d’utilisation d’HTTP Strict Transport Security (HSTS)
• Headers Content Security Policy (CSP) absents ou incomplets
• Clickjacking ou non-existence d’X-Frame-Option sur les pages de connexion
• Problèmes liés au contrôle du cache HTTPS sur des sites n’offrant pas la capacité de transfert d’argent
• Dénombrement d’utilisateurs sur des sites n’offrant pas de service de transfert d’argent
• Serveur ou version des applications tierces décelées ou périmées sans preuve de concept sur son exploitation
• Problèmes liés aux suites de chiffrement SSL / TLS non sécurisé ou autres erreurs de configuration
• Problèmes liés aux logiciels ou protocoles, non sous contrôle de Yolt
• Attaque par déni de service
• Spam ou Ingénierie Sociale
• Report d’analyseur de réseaux tel que les Port scanners
Récompenses

Nous vous conseillons vivement de signaler toutes failles auprès de nos services. Nous vous récompenserons en fonctions de la sévérité et de la qualité des failles identifiées, lesquelles seront analysées et évaluées par notre équipe. Nous déterminerons la valeur de la récompense en fonction de la sévérité ainsi que de l’exclusivité des failles signalées.