Suivre Swisscom S’abonner aux infos Etat du réseau Contact
Suivre Swisscom S’abonner aux infos Etat du réseau Contact

Bug Bounty

Plus

    Bug Bounty: résoudre des failles de sécurité

    Avec notre programme Bug Bounty, nous aidons à notifier et résoudre les vulnérabilités et les points faibles au niveau de nos produits et services. Nous incitons aussi bien les particuliers que les organisations à communiquer les vulnérabilités à notre équipe Computer Security Incident Response Team (CSIRT).

    Notifier des failles

    Veuillez nous annoncer une vulnérabilité via notre Portal:

    Bug Bounty Portal

    Vous pouvez nous contacter par email pour toute autre demande à propos de notre programme Bug Bounty:

    bug.bounty@swisscom.com

    PGP key id EACE7621
    PGP fingerprint 0D9E 4E7C AA3D 666F 7AA8  2126 FA1E 1D53 EACE 7621
    PGP public key public key
    Postal address
    		 Swisscom (Suisse) SA
    GSE-CYD
    Alte Tiefenaustrasse 6
    CH-3048 Worblaufen

    Contenu du message

    Le message doit comporter toutes les informations requises pour confirmer la vulnérabilité. Cela comprend:
     

    • Type de vulnérabilité
    • Données exactes du produit/service concerné
    • Description suffisamment détaillée de la vulnérabilité et du système impacté
    • Description précise et compréhensible des étapes requises pour exploiter la vulnérabilité, par exemple avec une documentation pas-à-pas
    • Informations supplémentaires comme des scripts PoC, des captures d’écran, des requêtes HTTP, etc.

    Les annonces à propos des problèmes ou sites suivants ne seront pas considérées:
     

    • L'absence d'une fonction de sécurité, ou bien la divulgation d'information non-sensible, ne constituent pas de vulnérabilités
      •   “Information Disclosure” sans données sensibles
      •   Clickjacking
      •   Open Redirects
    • Vulnérabilités de systèmes dans les domaines: *.cust.swisscom.ch
    • Annonces à propos de Fastweb

    Principes de base

    Dans le cadre de la coopération entre Swisscom et la communauté Security, tous les participants s'engagent à respecter les règles suivantes:
     

    • La divulgation des vulnérabilités s’effectue selon le principe de «Responsible Disclosure» (voir ci-dessous).
    • La notification se fait exclusivement à Swisscom.
    • Toutes les activités conduisant à la détection d’une faille de sécurité entrent dans le cadre légalement autorisé.
    • Des Bounties peuvent être attribués. La valeur des Bounties dépend de l’importance critique de la faille et de la qualité des informations transmises à Swisscom.

    Responsible Disclosure

    Par «Responsible Disclosure», Swisscom entend:
     

    • Swisscom a suffisamment de temps, en règle générale au moins 90 jours, pour vérifier et résoudre la faille.
    • Les tests ne doivent pas impacter les prestations et les produits Swisscom.
    • Les données de tiers ne doivent être ni espionnées ni transmises.
    • Aucun tiers ne doit être informé de la faille.
    • Les revendications en lien avec la notification d’une faille ne sont pas prises en compte.

    Procédure

    Le Swisscom CSIRT est chargé de garantir une procédure standardisée afin de réceptionner, de résoudre et le cas échéant de divulguer de façon coordonnée des vulnérabilités notifiées depuis l’externe.

    Vulnérabilités résolues

    ID Produit concerné Credits
    CVE-2020-16134
    		 Swisscom Internet-Box Martin Jindra – digi.ch GmbH
    CVE-2019-19940
    CVE-2019-19941
    CVE-2019-19942    		 Swisscom Centro Grande,
    Swisscom Centro Business    		 Cyril Mueller
    SCBB-2986 Tufin Secure Change Raphaël Arrouas
    SCBB-2629 Swisscom Internet Box Matthias Galliker
    CVE-2018-16596 Swisscom Internet-Box Michael Mazzolini – GoldNetwork

    CVE-2018-15476

    CVE-2018-15477

    CVE-2018-15478

    CVE-2018-15479

    CVE-2018-15480

    		 myStrom WiFi Product Line Jan Almeroth (@almeroth)
    CVE-2018-13108 Centro Business (ADB) Johannes Greil (Office Vienna), SEC Consult Vulnerability Lab
    CVE-2018-6765 Swisscom MySwisscomAssistant Kushal Arvind Shah, Fortinet FortiGuard Labs
    CVE-2018-6766 Swisscom TVMediaHelper Kushal Arvind Shah, Fortinet FortiGuard Labs
    CVE-2016-10042 Swisscom Internet Box (Arcadyan) Mateusz Khalil
    2016-6270433 Swisscom DSL Router Centro Grande (ARRIS/Motorola) Matthias Galliker
    CVE-2015-6498 Home Device Manager, Alcatel-Lucent Dr. Ulrich Fiedler,
    BFH-TI Biel/Bienne
    CVE-2015-1188 Swisscom DSL Router Centro Grande (ADB), ADB Ivan Almuina
    CVE-2015-1187 D-Link DIR636L, D-Link Tiago Caetano Henriques
    CVE-2014-3809 1830 Photonic Service Switch, Alcatel-Lucent Stephan Rickauer

    Entreprise

    Investisseurs

    News

    Jobs

    Clients privés

    Cilients commerciaux