Méta navigation

Bug Bounty


Bug Bounty: résoudre des failles de sécurité

Avec notre programme Bug Bounty, nous aidons à notifier et résoudre les vulnérabilités et les points faibles au niveau de nos produits et services. Nous incitons aussi bien les particuliers que les organisations à communiquer les vulnérabilités à notre équipe Computer Security Incident Response Team (CSIRT).







Notifier des failles

Veuillez nous annoncer une vulnérabilité via notre Portal:

Bug Bounty Portal


Vous pouvez nous contacter par email pour toute autre demande à propos de notre programme Bug Bounty:

bug.bounty@swisscom.com


PGP key id 679603F0
PGP fingerprint A387 0022 1F33 4B4B 77F5 DFE3 E372 59A7 6796 03F0
PGP public key public key
Postal address
Swisscom (Suisse) SA
GSE-MON
Pfingstweidstrasse 51
CH-8005 Zurich






Contenu du message

Le message doit comporter toutes les informations requises pour confirmer la vulnérabilité. Cela comprend:
 

  • Type de vulnérabilité
  • Données exactes du produit/service concerné
  • Description suffisamment détaillée de la vulnérabilité et du système impacté
  • Description précise et compréhensible des étapes requises pour exploiter la vulnérabilité, par exemple avec une documentation pas-à-pas
  • Informations supplémentaires comme des scripts PoC, des captures d’écran, des requêtes HTTP, etc.

Les annonces à propos des problèmes ou sites suivants ne seront pas considérées:
 

  • L'absence d'une fonction de sécurité, ou bien la divulgation d'information non-sensible, ne constituent pas de vulnérabilités
    •   “Information Disclosure” sans données sensibles
    •   Clickjacking
    •   Open Redirects
  • Vulnérabilités de systèmes dans les domaines: *.cust.swisscom.ch
  • Annonces à propos de Fastweb






Principes de base

Dans le cadre de la coopération entre Swisscom et la communauté Security, tous les participants s'engagent à respecter les règles suivantes:
 

  • La divulgation des vulnérabilités s’effectue selon le principe de «Responsible Disclosure» (voir ci-dessous).
  • La notification se fait exclusivement à Swisscom.
  • Toutes les activités conduisant à la détection d’une faille de sécurité entrent dans le cadre légalement autorisé.
  • Des Bounties peuvent être attribués. La valeur des Bounties dépend de l’importance critique de la faille et de la qualité des informations transmises à Swisscom.






Responsible Disclosure

Par «Responsible Disclosure», Swisscom entend:
 

  • Swisscom a suffisamment de temps, en règle générale au moins 90 jours, pour vérifier et résoudre la faille.
  • Les tests ne doivent pas impacter les prestations et les produits Swisscom.
  • Les données de tiers ne doivent être ni espionnées ni transmises.
  • Aucun tiers ne doit être informé de la faille.
  • Les revendications en lien avec la notification d’une faille ne sont pas prises en compte.






Procédure

Le Swisscom CSIRT est chargé de garantir une procédure standardisée afin de réceptionner, de résoudre et le cas échéant de divulguer de façon coordonnée des vulnérabilités notifiées depuis l’externe.







Vulnérabilités résolues


ID Produit concerné Credits
CVE-2016-10042 Swisscom Internet Box (Arcadyan) Mateusz Khalil
2016-6270433 Swisscom DSL Router Centro Grande (ARRIS/Motorola) Matthias Galliker
CVE-2015-6498 Home Device Manager, Alcatel-Lucent Dr. Ulrich Fiedler,
BFH-TI Biel/Bienne
CVE-2015-1188 Swisscom DSL Router Centro Grande (ADB), ADB Ivan Almuina
CVE-2015-1187 D-Link DIR636L, D-Link Tiago Caetano Henriques
CVE-2014-3809 1830 Photonic Service Switch, Alcatel-Lucent Stephan Rickauer