Ivanti s'engage à mettre en place des produits et une infrastructure sécurisés pour ses clients, et au bénéfice de la communauté. Ivanti apprécie et soutient les efforts de la communauté de sécurité qui l'aide à tenir cet engagement en lui signalant les problèmes potentiels.
Notre stratégie de divulgation responsable s'applique à tous les produits Ivanti et réseaux d'Ivanti, y compris les produits et réseaux des entreprises rachetées par Ivanti. Certains produits Ivanti font partie d'un programme « Bug Bounty » (Prime aux bugs, voir ci-dessous).
Rapports
Pour tous les problèmes concernant les produits et solutions Ivanti, y compris ceux des entreprises rachetées par Ivanti (comme Pulse Secure et MobileIron), merci de signaler les problèmes via notre outil HackerOne.
Pour les problèmes concernant l'infrastructure Ivanti et pour les problèmes non liés à un produit spécifique, merci de nous contacter via l'
adresse e-mail « Responsible Disclosure » (Divulgation responsable).
Si vous vous inquiétez de la sensibilité des informations que vous allez partager :
- Utilisez librement notre clé PGP (Empreinte : 5A86 C77C A361 B145 8A2C D672 DBF5 C7A9 FE96 C03D). Pour vérifier l'empreinte, envoyez-nous un e-mail.
- Envoyez votre e-mail à l'adresse ci-dessus et demandez l'ouverture d'un fil d'e-mails cryptés O365.
Nous vous demandons de fournir un rapport de haute qualité, avec code POC (Proof of Concept - Validation de principe). Si vous avez testé le produit
avec un système connecté à Internet, nous vous demandons de fournir l'adresse IP utilisée pour le test afin que nous puissions
rapidement valider vos activités.
Étendues exclues
Les types d'attaque suivants ne sont pas considérés comme inclus dans notre programme de divulgation responsable :
- Attaques par déni de service (DoS), notamment les attaques par épuisement des ressources, les exploitations provoquant un déni de service, ou tout autre type de « test de résilience » visant des solutions Ivanti ou hébergées par Ivanti, et susceptibles de provoquer une perturbation des services.
- Test physique des bureaux, centres de données, installations de colocation, etc. d'Ivanti.
- Activités de nos collaborateurs, clients, partenaires, etc. sur les réseaux sociaux.
- Attaque ou événement visant un produit ou une solution Ivanti hébergé par un client sur son propre réseau, sans approbation préalable de la réalisation des tests.
Outre la liste ci-dessus, les vulnérabilités et faiblesses suivantes ne sont pas incluses dans le programme :
- Clickjacking (détournement de clic) sur des pages sans action sensible ou sans impact.
- Cross Site Request Forgery (CSRF - Falsification de demande intersite) sur des formulaires non authentifiés ou des formulaires sans action sensible.
- Les attaques nécessitant un accès MITM ou physique au périphérique, à l'application ou à l'environnement de l'utilisateur seront étudiées au cas par cas.
- Bibliothèques précédemment connues comme étant vulnérables sans code POC opérationnel.
- Injection de fichier CSV (Valeurs séparées par des virgules) sans démonstration de vulnérabilité.
- Meilleures pratiques manquantes dans une configuration SSL/TLS, y compris un cryptage trop faible.
- Problèmes d'usurpation d'identité du contenu et d'injection de texte sans montrer de vecteur d'attaque ou sans pouvoir modifier le code HTML/CSS.
- Problèmes de limitation de débit ou de force brute sur les terminaux sans authentification.
- Meilleures pratiques manquantes dans la stratégie de sécurité du contenu.
- Mentions HttpOnly ou balises sécurisées manquantes dans les cookies.
- Meilleures pratiques d'e-mail manquantes, comme les enregistrements SPF/DKIM/DMARC non valides, incomplets ou manquants.
- Vulnérabilités qui affectent uniquement les utilisateurs de navigateurs ou de systèmes d'exploitation obsolètes ou sans correctifs.
- Problèmes de divulgation de la version du logiciel ou d'identification de bannière.
- Tabnabbing.
- Redirections ouvertes, sauf s'il est possible de prouver que cela a un impact supplémentaire sur la sécurité.
- Les vulnérabilités Zero Day publiques pour lesquelles un correctif officiel est disponible depuis moins d'un mois seront étudiées au cas par cas.
Ce que vous pouvez attendre d'Ivanti
À la réception de votre rapport, Ivanti va :
- Vous répondre sous deux jours ouvrables pour vous signaler que nous avons reçu votre rapport.
- Confirmer que votre rapport signale un vrai problème (ou non) deux jours après avoir confirmé sa réception.
- Vous fournir un rapport indiquant la façon dont nous allons corriger le problème et le moment où nous allons le faire.
- Vous prévenir une fois que le problème est résolu.
- Publier un rapport public, si approprié. Les personnes ayant envoyé des rapports dans le cadre de notre stratégie de divulgation responsable pourront être publiquement remerciées.
Pour celles qui signalent des problèmes jusqu'alors inconnus, nous envoyons des produits dérivés Ivanti Swag pour les remercier !
Programme « Bug Bounty » Ivanti
Ivanti est fier de mettre en place un programme de prime aux bugs HackerOne pour :
- Pulse Connect Secure
- MobileIron Core
- Pour en savoir plus, consultez le programme HackerOne : https://hackerone.com/ivanti
Le programme « Bug Bounty » fonctionne dans le cadre de la présente stratégie de divulgation responsable (avec les exclusions ci-dessus) et les primes dépendent de la gravité des vulnérabilités et de la qualité des rapports.
Les autres problèmes de sécurité signalés et validés seront récompensés par des articles Ivanti Swag. Ne demandez jamais d'autre paiement.
Règle refuge et mentions légales
Les chercheurs qui font en toute bonne foi l'effort de respecter la présente stratégie de divulgation responsable seront considérés comme des testeurs agréés Ivanti. De son côté, Ivanti fera les mêmes efforts de bonne foi pour collaborer avec les chercheurs qui signalent des problèmes dans le cadre de ce programme. En cas d'action légale intentée contre vous par un tiers concernant vos activités dans le cadre de cette stratégie, nous agirons pour faire savoir que vos actions ont bien été exécutées dans le
respect de la présente stratégie.
Ivanti se réserve le droit d'intenter une action légale contre les individus qui ne respectent pas la présente stratégie, et violent les conditions d'utilisation (ToS), les CLUF, ou les lois et réglementations locales. Ivanti ne reconnaît aucun autre programme, stratégie, chronologie ou structure de divulgation responsable non couvert par la présente stratégie. Les personnes qui signalent des problèmes potentiels via plusieurs programmes sans l'aval préalable d'Ivanti ne seront pas considérées comme agissant dans le cadre de la présente stratégie.
Questions
Pour tout problème ou question concernant les méthodes décrites ici, vous pouvez contacter l'équipe Ivanti Information Security à l'adresse [email protected].