Méta navigation

Bug Bounty


Bug Bounty: résoudre des failles de sécurité

Avec notre programme Bug Bounty, nous aidons à notifier et résoudre les failles de sécurité et les points faibles au niveau de nos produits et services. Nous incitons aussi bien les particuliers que les organisations à communiquer les failles à notre équipe Computer Security Incident Response Team (CSIRT).







Notifier des failles

Veuillez notifier toute faille de sécurité par e-mail à:

bug.bounty@swisscom.com


PGP key id 679603F0
PGP fingerprint A387 0022 1F33 4B4B 77F5 DFE3 E372 59A7 6796 03F0
PGP public key public key
Postal address
Swisscom (Suisse) SA
GSE-MON
Pfingstweidstrasse 51
CH-8005 Zurich






Contenu du message

Le message doit comporter toutes les informations requises pour traiter la faille de sécurité. Cela comprend:
 

  • Type de faille de sécurité
  • Données exactes du produit/service concerné
  • Description précise et compréhensible des étapes requises pour exploiter la faille de sécurité
  • Informations supplémentaires comme des scripts PoC, des captures d’écran, des requêtes HTTP, etc.






Principes de base

Dans le cadre de la coopération entre Swisscom et la communauté Security, tous les participants ont l’obligation de respecter les règles suivantes:
 

  • La divulgation des failles de sécurité s’effectue selon le principe «Responsible Disclosure» (voir ci-dessous).
  • La notification se fait exclusivement à Swisscom.
  • Toutes les activités conduisant à la détection d’une faille de sécurité entrent dans le cadre légalement autorisé.
  • Des Bounties peuvent être attribués. La valeur des Bounties dépend de l’importance critique de la faille et de la qualité des informations transmises à Swisscom.
  • L’exploitabilité de la faille doit pouvoir être vérifiée de façon manifeste. Le simple défaut d’une fonction de sécurité ou un trop grand nombre d’informations non sensibles liées au prix ne constitue pas une faille.






Responsible Disclosure

Par «Responsible Disclosure», Swisscom entend:
 

  • Swisscom a suffisamment de temps, en règle générale au moins 90 jours, pour vérifier et résoudre la faille.
  • Les tests ne doivent pas impacter les prestations et les produits Swisscom.
  • Les données de tiers ne doivent être ni espionnées ni transmises.
  • Aucun tiers ne doit être informé de la faille.
  • Les revendications en lien avec la notification d’une faille ne sont pas prises en compte.






Procédure

La Swisscom CSIRT est chargée de garantir une procédure standardisée afin d’entériner, de résoudre et le cas échéant de divulguer de façon coordonnée des failles notifiées depuis l’externe.







Failles résolues


ID Produit concerné Credits
CVE-2015-6498 Home Device Manager, Alcatel-Lucent Dr. Ulrich Fiedler,
BFH-TI Biel/Bienne
CVE-2015-1188 Swisscom DSL Router Centro Grande (ADB), ADB Ivan Almuina
CVE-2015-1187 D-Link DIR636L, D-Link Tiago Caetano Henriques
CVE-2014-3809 1830 Photonic Service Switch, Alcatel-Lucent Stephan Rickauer