Comment signaler un bug ou une faille de sécurité ?

Si vous avez découvert une faille de sécurité et nous la signalez de façon avisée, nous vous serons extrêmement reconnaissants.

Nous travaillerons avec vous pour nous assurer que nous comprenons bien la portée du problème que vous avez identifié et que nous le traitons en profondeur. Si vous pensez avoir découvert une faille ou incident de sécurité à signaler, veuillez envoyer un email à security@ifixit.com. Veuillez inclure une description détaillée du problème que vous avez découvert. N'oubliez pas d'indiquer une adresse email à laquelle nous pourrons vous joindre, au cas où nous aurions besoin de plus d'informations. 

Veuillez faire preuve de bon sens en ce qui concerne la protection de la vie privée et des données de nos utilisateurs lors de la transmission d'informations. Lorsque vous testez des failles, n'insérez pas de code de test dans des tutoriels publics populaires – ces tutoriels sont utilisés quotidiennement par des milliers de personnes. Il est préjudiciable de perturber l’expérience utilisateur en testant des failles, veuillez toujours créer un nouveau tutoriel à la place ! Nous ne prendrons aucune mesure juridique ou administrative à votre encontre ou à l'encontre de votre compte si vous agissez de la sorte : les hackers "white hat" sont toujours appréciés.

C’est toujours un plaisir de récompenser les utilisateurs qui signalent des failles de sécurité valables. Pour pouvoir bénéficier d'un avoir ou d'une récompense, il faut :

  • Être la première personne à signaler le bug de manière avisée.
  • Signaler un bug susceptible de compromettre les données privées des utilisateurs, de contourner les protections du système ou de permettre l'accès à un système au sein de notre infrastructure.

Veuillez signaler les bugs suivants :

  • Attaques XSS (Cross-Site Scripting)
  • Attaques XSRF ou CSRF (Cross Site Request Forgery)
  • Violation de l'authentification
  • Contournement des systèmes de confidentialité et de permission de notre infrastructure
  • Exécution de code à distance

Veuillez ne pas signaler :

  • Versions obsolètes de Wordpress sans failles connues
  • Attaques par énumération de noms d'utilisateur
  • Attaques Self-XSS
  • Enregistrements DNS SPF manquants

Notre équipe de sécurité évaluera chaque bug pour déterminer s'il remplit les conditions requises. Nous faisons de notre mieux pour répondre à vos rapports dans les meilleurs délais. Nous nous efforçons de répondre dans les trois jours ouvrés, mais l'examen de certains rapports prend plus de temps que d'autres. Nous ne répondons que pendant les horaires de bureau (de 9h à 17h, Heure du Pacifique, en semaine, hors jours fériés). Des emails répétés n'entraîneront PAS une réponse plus rapide et risquent de faire remonter votre rapport à la fin de la file d'attente.