Aller au contenu

Programme Bug Bounty

Ostorlab reconnaît qu'aucune technologie n'est infaillible. C'est pourquoi Ostorlab collabore avec des chercheurs en sécurité qualifiés du monde entier pour identifier les faiblesses de sa technologie.

Si vous pensez avoir découvert un problème de sécurité dans l'un des produits ou services d'Ostorlab, veuillez nous en informer. Ostorlab travaillera avec vous pour résoudre le problème rapidement.

Pour montrer sa reconnaissance envers les chercheurs en sécurité responsables, Ostorlab offre une prime monétaire pour le signalement de vulnérabilités de sécurité admissibles. Le montant des récompenses varie en fonction de la sévérité de la vulnérabilité signalée, et l'éligibilité est à la discrétion d'Ostorlab.

À l'heure actuelle, le programme Bug Bounty d'Ostorlab n'est pas public, mais les chercheurs en sécurité souhaitant y participer peuvent demander une invitation en nous contactant.

Lors de la soumission d'une potentielle vulnérabilité de sécurité, veuillez fournir une description détaillée du problème ainsi que les étapes pour le reproduire. Les captures d'écran, les vidéos ou toute autre forme de preuve de concept (PoC) sont grandement appréciées. Veuillez ne pas utiliser d'outils de scan de vulnérabilités automatisés sans approbation préalable, et ne tentez pas d'accéder à des données ou systèmes, ni de les perturber, sans consentement exprès.

Ostorlab demande également aux chercheurs en sécurité de ne pas divulguer la vulnérabilité à des tiers tant qu'elle n'a pas été corrigée et qu'une prime n'a pas été versée. De plus, veuillez ne pas divulguer publiquement la vulnérabilité avant qu'Ostorlab n'ait eu suffisamment de temps pour la traiter.

Nous vous remercions par avance de votre aide pour maintenir la sécurité de notre technologie. Ensemble, nous pouvons garantir que les produits et services d'Ostorlab restent sûrs et fiables pour tous.

Remarque

  • Ostorlab peut ne pas répondre ou récompenser toutes les vulnérabilités de sécurité trouvées, et la sévérité ainsi que l'impact peuvent différer de la perception du chercheur.
  • Seules les découvertes originales sont éligibles ; les vulnérabilités dupliquées ne sont pas récompensées.
  • Tout non-respect de cette politique entraînera la disqualification du programme.

Conditions d'éligibilité :

Vous ÊTES éligible pour participer au programme si vous remplissez et acceptez d'être lié par toutes les conditions suivantes :

  • Vous avez au moins 18 ans. Toutefois, si vous êtes considéré comme mineur dans votre lieu de résidence, l'autorisation de vos parents ou de vos tuteurs légaux est requise avant de participer à ce programme.
  • Vous êtes soit un chercheur individuel participant à titre personnel, soit vous travaillez pour une organisation qui vous autorise à participer. Il vous incombe de vérifier les règles de votre employeur concernant la participation à ce programme.
  • Vous acceptez (i) de préserver la confidentialité de toutes les informations reçues d'Ostorlab, y compris, mais sans s'y limiter, toutes les informations concernant ou liées à ce programme Bug Bounty (par exemple, l'architecture des systèmes Ostorlab, les plans d'affaires, etc.) ainsi que toute autre information et tout matériel normalement et raisonnablement considérés comme confidentiels (« Informations Confidentielles »), (ii) de protéger les Informations Confidentielles contre toute utilisation ou divulgation non autorisée, et (iii) d'utiliser les Informations Confidentielles uniquement aux fins pour lesquelles elles vous sont fournies.
  • Vous déclarez et garantissez que votre soumission est votre propre travail, que vous n'avez pas utilisé d'informations appartenant à une autre personne ou entité, et que vous avez le droit légal de fournir la soumission à Ostorlab.
  • Vous reconnaissez qu'Ostorlab, sans frais supplémentaires, détiendra toutes les œuvres créées ou développées par vous en relation avec ou à la suite de votre participation au programme Bug Bounty d'Ostorlab.
  • Vous reconnaissez qu'aucune compensation ou crédit ne vous est garanti pour votre soumission.

Vous N'ÊTES PAS éligible pour participer au programme si vous remplissez l'un des critères suivants :

  • Vous avez moins de 18 ans ;
  • Vous résidez dans un pays soumis à des sanctions des États-Unis (https://www.treasury.gov/resource-center/sanctions/Pages/default.aspx) ou dans tout autre pays n'autorisant pas la participation aux programmes de Bug Bounty ;
  • Vous êtes un employé du secteur public ;
  • Votre participation à ce programme violera les politiques de votre employeur ;
  • Vous êtes actuellement employé par Ostorlab ou une entité d'Ostorlab, ou vous êtes un membre de la famille immédiate (parent, frère/sœur, conjoint ou enfant) d'un tel employé ;
  • Vous avez été précédemment employé par Ostorlab ;

AUCUNE GARANTIE

VOUS COMPRENEZ QUE VOTRE PARTICIPATION AU PROGRAMME SE FAIT À VOS PROPRES RISQUES.

LIMITATION DE RESPONSABILITÉ DANS TOUTE LA MESURE PERMISE PAR LA LOI APPLICABLE, SAUF DISPOSITION CONTRAIRE DANS LES PRÉSENTES, EN AUCUN CAS Ostorlab, SES SOCIÉTÉS AFFILIÉES OU LEURS EMPLOYÉS, SOUS-TRAITANTS, AGENTS, DIRIGEANTS OU ADMINISTRATEURS NE SERONT RESPONSABLES ENVERS VOUS OU L'ENTITÉ PAR L'INTERMÉDIAIRE DE LAQUELLE VOUS PARTICIPEZ AU PROGRAMME BUG BOUNTY D'Ostorlab POUR TOUT DOMMAGE INDIRECT, PUNITIF, ACCESSOIRE, SPÉCIAL, CONSÉCUTIF OU EXEMPLAIRE, Y COMPRIS, SANS S'Y LIMITER, LES DOMMAGES POUR INTERRUPTION D'ACTIVITÉ, PERTE DE PROFITS, DE CLIENTÈLE, D'UTILISATION, DE DONNÉES OU AUTRES PERTES INTANGIBLES DÉCOULANT DE OU LIÉS À CE PROGRAMME. SI VOUS AVEZ UN QUELCONQUE MOTIF POUR RECOUVRER DES DOMMAGES EN LIEN AVEC LE PROGRAMME (Y COMPRIS LA VIOLATION DE CES CONDITIONS), VOUS ACCEPTEZ QUE VOTRE RECOURS EXCLUSIF SOIT DE RECOUVRER, AUPRÈS D'Ostorlab OU DE TOUTE SOCIÉTÉ AFFILIÉE, REVENDEUR, DISTRIBUTEUR ET FOURNISSEUR, DES DOMMAGES DIRECTS JUSQU'À CONCURRENCE DE, MAIS SANS DÉPASSER, 100,00 $ (USD). LES EXCLUSIONS ET LIMITATIONS DE CETTE SECTION S'APPLIQUENT QUE LA RESPONSABILITÉ ALLÉGUÉE SOIT FONDÉE SUR UN CONTRAT, UN DÉLIT, LA NÉGLIGENCE, LA RESPONSABILITÉ STRICTE OU TOUTE AUTRE BASE, MÊME SI LA PARTIE NON DÉFAILLANTE A ÉTÉ INFORMÉE DE LA POSSIBILITÉ D'UN TEL DOMMAGE.