Bug Bounty: Prêt pour plus de cybersécurité

Nous sommes la première entreprise de Suisse à promouvoir le signalement et l’élimination rapide des failles de sécurité (bugs) dans nos produits et nos services à l’aide de notre programme Bug Bounty. Nous incitons aussi bien les particuliers que les organisations à communiquer les vulnérabilités à notre équipe Computer Security Incident Response Team (CSIRT).

Notifier des failles de sécurité

Veuillez nous annoncer une vulnérabilité via notre Portal:

Bug Bounty Portal

Vous pouvez nous contacter par email pour toute autre demande à propos de notre programme Bug Bounty:

bug.bounty@swisscom.com

PGP key id D7DD5D676F08666B
PGP fingerprint 32C7 3D84 51B9 0D71 F966 1FD3 D7DD 5D67 6F08 666B
PGP public key public key
Postal address
 Swisscom (Schweiz) AG
GSE-CYD
Alte Tiefenaustrasse 6
CH-3048 Worblaufen

Contenu du message

Le message doit comporter toutes les informations requises pour confirmer la vulnérabilité. Cela comprend:
 

  • Type de vulnérabilité
  • Données exactes du produit/service concerné
  • Description suffisamment détaillée de la vulnérabilité et du système impacté
  • Description précise et compréhensible des étapes requises pour exploiter la vulnérabilité, par exemple avec une documentation pas-à-pas
  • Informations supplémentaires comme des scripts PoC, des captures d’écran, des requêtes HTTP, etc.

Les annonces à propos des problèmes ou sites suivants ne seront pas considérées:
 

  • L'absence d'une fonction de sécurité, ou bien la divulgation d'information non-sensible, ne constituent pas de vulnérabilités
    •   “Information Disclosure” sans données sensibles
    •   Clickjacking
    •   Open Redirects
  • Vulnérabilités de systèmes dans les domaines:
    •   *.cust.swisscom.ch
    •   *.pub.wingo.ch et
    •   *.cust.wingo.ch
  • Annonces à propos de Fastweb

Principes de base

Dans le cadre de la coopération entre Swisscom et la communauté Security, tous les participants s'engagent à respecter les règles suivantes:
 

  • La divulgation des vulnérabilités s’effectue selon le principe de «Responsible Disclosure» (voir ci-dessous).
  • La notification se fait exclusivement à Swisscom.
  • Toutes les activités conduisant à la détection d’une faille de sécurité entrent dans le cadre légalement autorisé.
  • Des Bounties peuvent être attribués. La valeur des Bounties dépend de l’importance critique de la faille et de la qualité des informations transmises à Swisscom.

Responsible Disclosure

Par «Responsible Disclosure», Swisscom entend:
 

  • Swisscom a suffisamment de temps, en règle générale au moins 90 jours, pour vérifier et résoudre la faille.
  • Les tests ne doivent pas impacter les prestations et les produits Swisscom.
  • Les données de tiers ne doivent être ni espionnées ni transmises.
  • Aucun tiers ne doit être informé de la faille.
  • Les revendications en lien avec la notification d’une faille ne sont pas prises en compte.

Procédure

Le Swisscom CSIRT est chargé de garantir une procédure standardisée afin de réceptionner, de résoudre et le cas échéant de divulguer de façon coordonnée des vulnérabilités notifiées depuis l’externe.

Vulnérabilités résolues

ID Produit concerné Credits
CVE-2020-16134
 Swisscom Internet-Box Martin Jindra – digi.ch GmbH
CVE-2019-19940
CVE-2019-19941
CVE-2019-19942		 Swisscom Centro Grande,
Swisscom Centro Business		 Cyril Mueller
SCBB-2986 Tufin Secure Change Raphaël Arrouas
SCBB-2629 Swisscom Internet Box Matthias Galliker
CVE-2018-16596 Swisscom Internet-Box Michael Mazzolini – GoldNetwork

CVE-2018-15476

CVE-2018-15477

CVE-2018-15478

CVE-2018-15479

CVE-2018-15480

 myStrom WiFi Product Line Jan Almeroth (@almeroth)
CVE-2018-13108 Centro Business (ADB) Johannes Greil (Office Vienna), SEC Consult Vulnerability Lab
CVE-2018-6765 Swisscom MySwisscomAssistant Kushal Arvind Shah, Fortinet FortiGuard Labs
CVE-2018-6766 Swisscom TVMediaHelper Kushal Arvind Shah, Fortinet FortiGuard Labs
CVE-2016-10042 Swisscom Internet Box (Arcadyan) Mateusz Khalil
2016-6270433 Swisscom DSL Router Centro Grande (ARRIS/Motorola) Matthias Galliker
CVE-2015-6498 Home Device Manager, Alcatel-Lucent Dr. Ulrich Fiedler,
BFH-TI Biel/Bienne
CVE-2015-1188 Swisscom DSL Router Centro Grande (ADB), ADB Ivan Almuina
CVE-2015-1187 D-Link DIR636L, D-Link Tiago Caetano Henriques
CVE-2014-3809 1830 Photonic Service Switch, Alcatel-Lucent Stephan Rickauer