Politique de divulgation responsable de Mimecast
Mimecast considère la protection des données de ses clients comme une responsabilité majeure qui revêt pour nous la plus haute priorité, car nous souhaitons offrir à nos clients une expérience exceptionnelle à chaque étape de leur parcours. Nous accordons donc une importance capitale à la sécurité de nos systèmes, et nous apprécions sincèrement l'aide apportée par les chercheurs en sécurité et les autres membres de la communauté de la sécurité, qui contribuent à garantir la sécurité de nos systèmes. Ensemble, nous pouvons améliorer les choses et trouver des solutions pour relever les défis. Mimecast tient compte des points de vue d'autrui afin de renforcer la cyber resilience. La divulgation responsable des failles de sécurité nous aide à garantir la sécurité et la confidentialité de tous nos utilisateurs. Si vous découvrez une faille de sécurité, nous vous serions reconnaissants de nous en faire part conformément à la présente politique afin que nous puissions résoudre le problème dans les meilleurs délais. Ensemble, nous pouvons atteindre nos objectifs grâce à la collaboration, à la communication et à la responsabilisation.
Lignes directrices relatives à la divulgation responsable
- Ne menez des recherches que dans le cadre du « champ d'application » défini dans la présente politique ;
- « Les clients de Mimecast doivent ouvrir un dossier pour tout signalement ne relevant pas de la sécurité. »
- Pour nous aider à comprendre la nature et l'ampleur de cette vulnérabilité potentielle, rendez-vous sur https://bugcrowd.com/3905fe58-e58e-491d-87dc-a8a9264eb662/external/report et remplissez le formulaire en fournissant autant d'informations que possible. Une fois que vous avez terminé, cliquez sur « Signaler une vulnérabilité » pour envoyer votre rapport à Mimecast ;
- Veuillez garder confidentielles, entre vous et Mimecast, les informations relatives à toute vulnérabilité que vous avez découverte, jusqu’à ce que nous ayons disposé d’au moins 90 jours pour examiner et résoudre le problème. Il est important de noter que le délai nécessaire à l'examen et à la résolution d'un problème peut varier en fonction d'un certain nombre de facteurs, notamment la complexité de la vulnérabilité et le risque qu'elle est susceptible de présenter, entre autres ;
- Maintenez les canaux de communication ouverts afin de permettre une collaboration efficace ;
- Mettez tout en œuvre pour éviter toute atteinte à la vie privée, toute dégradation de l'expérience utilisateur, toute perturbation des systèmes de production et toute destruction de données lors des tests de sécurité
Ce que vous pouvez attendre de nous :
- Nous travaillerons avec vous pour comprendre et résoudre ce problème, dans le but de renforcer la protection de nos clients et de nos systèmes ;
- Si vous respectez les consignes énoncées ci-dessus, nous n'engagerons ni ne soutiendrons aucune action en justice liée à vos travaux de recherche ;
- Nous nous efforcerons de répondre à votre signalement dans un délai de 3 jours ouvrés à compter de sa soumission
Dans le champ d'application
- https://www.mimecast.com
- Serveurs MTA Mimecast
- Serveurs POP Mimecast
- Service Mimecast Large File Send (LFS)
- Service Mimecast Secure Messaging (SM)
- Utilitaire d'audit unified Mimecast
- Console d'administration Mimecast
- Mimecast Personal Portal
- Mimecast Service Monitor
- API Mimecast
- Mimecast Web Security
- Analyseur DMARC Mimecast
- Mimecast Brand Exploit Protect
- Applications mobiles pour Android et iOS
- https://blog.mimecast.com
Hors du champ d'application
Tous les services hébergés par des prestataires tiers sont exclus du champ d'application. Ces services comprennent :
- Base de connaissances Mimecast (kb.mimecast.com) ;
- Mimecast Academy (academy.mimecast.com) ;
- https://community.mimecast.com ;
- ainsi que tout autre élément non explicitement mentionné dans la section « Champ d'application » ci-dessus.
Dans l'intérêt de la sécurité de nos clients, de notre personnel, d'Internet en général, ainsi que de vous-même en tant que chercheur en sécurité, les types de tests suivants sont exclus du champ d'application :
- Toute tentative visant à modifier ou à détruire des données ;
- Conclusions tirées principalement de l'ingénierie sociale (par exemple : Phishing);
- Constatations issues d'applications ou de systèmes ne figurant pas dans la section « Champ d'application » ;
- Les vulnérabilités de type « déni de service » (DoS/DDoS) au niveau du réseau ou toute autre tentative visant à interrompre ou à dégrader les services proposés par Mimecast, y compris celles qui affectent la capacité des utilisateurs finaux à utiliser le service ;
- Toute tentative d'accès au compte ou aux données d'un utilisateur ;
- Et tout ce qui n'est pas autorisé par la législation applicable...
Vulnérabilités éligibles
Qu'est-ce qu'une « vulnérabilité éligible » ?Les vulnérabilités des applications web telles que XSS, XXE, CSRF, SQLi, l'inclusion de fichiers locaux ou distants, les problèmes d'authentification, l'exécution de code à distance, les problèmes d'autorisation, l'escalade de privilèges et le « clickjacking ». La vulnérabilité doit se trouver dans l'un des services mentionnés dans la section « Champ d'application » ci-dessus. Vous devez être le premier chercheur à signaler cette vulnérabilité de manière responsable et vous devez respecter les directives de divulgation responsable énoncées dans la présente politique, qui prévoient notamment de nous accorder un délai raisonnable pour remédier à cette vulnérabilité. Nous conviendrons avec vous d'un délai raisonnable après la notification de la vulnérabilité.
Qu'est-ce qui ne constitue pas une « vulnérabilité éligible » ?Bien que chaque signalement soit évalué au cas par cas, voici une liste de certains problèmes qui ne constituent pas des failles de sécurité :
- erreurs liées à l'interface utilisateur (UI) et à l'expérience utilisateur (UX), ainsi que des fautes d'orthographe ;
- Problèmes liés au protocole TLS/SSL ;
- Configurations SPF, DMARC et DKIM ;
- Vulnérabilités dues à des navigateurs ou des modules complémentaires obsolètes ;
- Politiques de sécurité du contenu (CSP) ;
- Vulnérabilités des produits en fin de vie ;
- Absence d'indicateurs sur les cookies ;
- Énumération des noms d'utilisateur ;
- Les vulnérabilités qui reposent sur l'existence de plug-ins tels que Flash ;
- Des failles affectant les utilisateurs de navigateurs et de modules complémentaires obsolètes ;
- En-têtes de sécurité manquants, notamment, mais sans s'y limiter : ", content-type-options", ", X-XSS-Protection";
- Absence de CAPTCHA en tant que mécanisme de sécurité ;
- Problèmes liés à la présence d'une application malveillante installée sur l'appareil ;
- Vulnérabilités nécessitant un appareil « jailbreaké » ;
- Les vulnérabilités nécessitant un accès physique aux appareils mobiles ;
- Utilisation d'une bibliothèque dont la vulnérabilité est connue, sans preuve de l'exploitabilité de cette vulnérabilité ; et/ou
- Les attaques de type « tap-jacking » et de « UI-redressing », qui consistent à inciter l'utilisateur à appuyer sur un élément de l'interface utilisateur ;
Les fonctionnalités de verrouillage de compte ou de limitation de fréquence ; - Fonctionnalités de verrouillage de compte ou de limitation du débit ;
- Clés API visibles sur les pages (par exemple : Google Maps), à moins qu'il ne soit prouvé que cette clé effectue une opération privilégiée ;
- « la divulgation du code source » des fichiers JavaScript, sauf s'il peut être prouvé que ce fichier est privé ;
- « Fuite d'informations de référent inter-domaines », sauf si la chaîne de référent contient des informations confidentielles ou privées ;
- Attaques par prise de contrôle de sous-domaines sans preuve : un faux positif courant est smartlinggdn.mimecast.com ;
- Injections dans l'en-tête « Host » lorsque l'exploitation nécessite une attaque de type « man-in-the-middle » (MITM) ou lorsque la valeur de cet en-tête n'apparaît pas sur la page ou n'est pas utilisée par l'application ;
- Absence d'attributs de sécurité sur les éléments HTML (par exemple : paramètres de saisie semi-automatique dans les champs de texte) ;
- La possibilité d'intégrer une page dans un iFrame / le « clickjacking » ;
- Injection HTML sans aucune incidence sur la sécurité ;
- les attaques CSRF sans aucune conséquence ou qui ne dépassent pas les limites des privilèges ;
- Toute fuite d'informations ou d'identifiants provenant de tiers et échappant au contrôle de Mimecast (par exemple, Google, Bing, GitHub, Pastebin, etc.) ;
- En règle générale, n'acceptez pas les vulnérabilités de tiers pour lesquelles aucun avis n'a encore été publié ;
- Les vulnérabilités récemment rendues publiques (il y a moins de 30 jours) ;
- Vulnérabilités déjà signalées / en cours de correction.
- Tout produit Mimecast contenant des liens sensibles dans des e-mails qui aboutissent à des services tiers lorsqu'ils ont été divulgués à la suite d'interactions avec les clients, que ce soit directement ou indirectement.
Le « Wall of Fame » des chercheurs en sécurité de Mimecast
Mimecast tient à exprimer publiquement sa profonde gratitude envers les chercheurs en sécurité suivants, qui ont signalé de manière responsable des vulnérabilités et ont collaboré avec nous pour y remédier. Mimecast apprécie sincèrement vos efforts exceptionnels.
2015
- Pradeep Kumar - facebook.com/pradeepch99
- Sumit Jain - facebook.com/sumit.cfe
- Jay Patel - facebook.com/jaypatel9717
- Deepak Das - facebook.com/deepak.das.581525
- Shivam Kumar Agarwal - facebook.com/shivamkumar.agarwal.9
- Naveen Sihag - twitter.com/itsnaveensihag
- Rafael Pablos
- Junting Zhu
2016
J. Vogel
Matias P. Brutti
Mike Brown - twitter.com/m8r0wn
Stephen Tomkinson (simulation de phishing « Piranha » du groupe NCC)
2017
Will Pearce &, Nick Landers (Silent Break Security)
Dipu Hasan
Paul Price (Schillings Partners)
Terry Conway (CisCom Solutions)
2018
- Abdul Mateen
- Pritam Singh
- John Lee (City Business Solutions UK Ltd)
- Jeroen W
2019
- Charlie Smith - twitter.com/moopinger
- Patrick Sukop - twitter.com/iKnadt
- Abdelhak Kharroubi
- Francesco Lacerenza - linkedin.com/in/francesco-lacerenza/
- Raphaël (Access42 B.V.)
- Rotimi Akinyele - linkedin.com/in/nigerianpenetrationtester
- Wesley Kirkland - linkedin.com/in/wesleykirkland
2020
- Vaibhav Atkale - twitter.com/atkale_vaibhav
- Swapnil Maurya - twitter.com/swapmaurya20
- Derek Knaub - linkedin.com/in/derek-knaub-97836514
- Sanem Sudheendra
2021
- Naz Markuta - linkedin.com/in/naz-markuta/
- Darren LaCasse - twitter.com/stiltznet
- Ajit Bhatta - twitter.com/callmeajit
- Shreeram Mallick - linkedin.com/in/shreeram-mallick-051b43211
- Rob Lowery - lowery.tech
- Shane King - linkedin.com/in/shane-king-b282a188
- Cheikh Rishad
2022
- Patrick Sayler (NetSPI)
- Mayank Gandhi - linkedin.com/in/mayank-gandhi-0163ba216
- Ankur Vaidya
2023
- Elliott Brooks
2024
- Junting Zhu, Chandler Wang &, Shuai Yu
2025
- Alvin Mwambi Osano (@Steiner254) - x.com/Steiner254
- Martin Hodgson (Conosco)
- Connor Percival (3B Data Security)
- Cobus Mentz - Woolworths Afrique du Sud