Méta navigation

Bug Bounty


Bug Bounty: résoudre des failles de sécurité

Avec notre programme Bug Bounty, nous aidons à notifier et résoudre les vulnérabilités et les points faibles au niveau de nos produits et services. Nous incitons aussi bien les particuliers que les organisations à communiquer les vulnérabilités à notre équipe Computer Security Incident Response Team (CSIRT).







Notifier des failles

Veuillez nous annoncer une vulnérabilité via notre Portal:

Bug Bounty Portal


Vous pouvez nous contacter par email pour toute autre demande à propos de notre programme Bug Bounty:

bug.bounty@swisscom.com


PGP key id EACE7621
PGP fingerprint 0D9E 4E7C AA3D 666F 7AA8  2126 FA1E 1D53 EACE 7621
PGP public key public key
Postal address
Swisscom (Suisse) SA
GSE-MON
Pfingstweidstrasse 51
CH-8005 Zürich






Contenu du message

Le message doit comporter toutes les informations requises pour confirmer la vulnérabilité. Cela comprend:
 

  • Type de vulnérabilité
  • Données exactes du produit/service concerné
  • Description suffisamment détaillée de la vulnérabilité et du système impacté
  • Description précise et compréhensible des étapes requises pour exploiter la vulnérabilité, par exemple avec une documentation pas-à-pas
  • Informations supplémentaires comme des scripts PoC, des captures d’écran, des requêtes HTTP, etc.

Les annonces à propos des problèmes ou sites suivants ne seront pas considérées:
 

  • L'absence d'une fonction de sécurité, ou bien la divulgation d'information non-sensible, ne constituent pas de vulnérabilités
    •   “Information Disclosure” sans données sensibles
    •   Clickjacking
    •   Open Redirects
  • Vulnérabilités de systèmes dans les domaines: *.cust.swisscom.ch
  • Annonces à propos de Fastweb






Principes de base

Dans le cadre de la coopération entre Swisscom et la communauté Security, tous les participants s'engagent à respecter les règles suivantes:
 

  • La divulgation des vulnérabilités s’effectue selon le principe de «Responsible Disclosure» (voir ci-dessous).
  • La notification se fait exclusivement à Swisscom.
  • Toutes les activités conduisant à la détection d’une faille de sécurité entrent dans le cadre légalement autorisé.
  • Des Bounties peuvent être attribués. La valeur des Bounties dépend de l’importance critique de la faille et de la qualité des informations transmises à Swisscom.






Responsible Disclosure

Par «Responsible Disclosure», Swisscom entend:
 

  • Swisscom a suffisamment de temps, en règle générale au moins 90 jours, pour vérifier et résoudre la faille.
  • Les tests ne doivent pas impacter les prestations et les produits Swisscom.
  • Les données de tiers ne doivent être ni espionnées ni transmises.
  • Aucun tiers ne doit être informé de la faille.
  • Les revendications en lien avec la notification d’une faille ne sont pas prises en compte.






Procédure

Le Swisscom CSIRT est chargé de garantir une procédure standardisée afin de réceptionner, de résoudre et le cas échéant de divulguer de façon coordonnée des vulnérabilités notifiées depuis l’externe.







Vulnérabilités résolues


ID Produit concerné Credits
CVE-2018-16596 Swisscom Internet-Box Michael Mazzolini – GoldNetwork

CVE-2018-15476

CVE-2018-15477

CVE-2018-15478

CVE-2018-15479

CVE-2018-15480

myStrom WiFi Product Line Jan Almeroth (@almeroth)
CVE-2018-13108 Centro Business (ADB) Johannes Greil (Office Vienna), SEC Consult Vulnerability Lab
CVE-2018-6765 Swisscom MySwisscomAssistant Kushal Arvind Shah, Fortinet FortiGuard Labs
CVE-2018-6766 Swisscom TVMediaHelper Kushal Arvind Shah, Fortinet FortiGuard Labs
CVE-2016-10042 Swisscom Internet Box (Arcadyan) Mateusz Khalil
2016-6270433 Swisscom DSL Router Centro Grande (ARRIS/Motorola) Matthias Galliker
CVE-2015-6498 Home Device Manager, Alcatel-Lucent Dr. Ulrich Fiedler,
BFH-TI Biel/Bienne
CVE-2015-1188 Swisscom DSL Router Centro Grande (ADB), ADB Ivan Almuina
CVE-2015-1187 D-Link DIR636L, D-Link Tiago Caetano Henriques
CVE-2014-3809 1830 Photonic Service Switch, Alcatel-Lucent Stephan Rickauer