Politique de divulgation coordonnée des vulnérabilités

Chez Monta, la sécurité de nos systèmes constitue une priorité absolue. Nous mettons un point d’honneur à protéger les données de nos clients, de nos partenaires et de nos collaborateurs afin d’évoluer dans un climat de confiance.

Néanmoins, certaines vulnérabilités peuvent subsister. Si vous avez identifié une faille dans nos systèmes, nous vous invitons à nous la signaler afin que nous puissions faire les correctifs rapidement. En reconnaissance de votre signalement, vous aurez l’opportunité d’intégrer notre Hall of Fame.

divulgation coordonnée des vulnérabilités par Monta

Des systèmes sécurisés

grâce à votre aide

Signaler des vulnérabilités (FAQ)

Que pouvez-vous nous signaler ?

Vous pouvez nous faire remonter toute faille de sécurité identifiée sur nos services. Voici quelques exemples de vulnérabilités que nous traitons :

  • Vulnérabilités de type « Cross-Site Scripting » (XSS).
  • Injections SQL.
  • Défauts de configuration liés aux connexions sécurisées.
  • Vulnérabilités détectées sur nos applications (notamment mobiles).

Éléments hors périmètre de signalement

Notre politique de divulgation coordonnée des vulnérabilités (CVD) est strictement axée sur la cybersécurité. Elle n’est pas conçue pour le traitement des réclamations client.

À ce titre, certains éléments sont exclus :

  • Indisponibilité temporaire de nos sites web ou de nos services.
  • Bugs fonctionnels ou anomalies d’usage classiques sur nos plateformes ou services.
  • Signalements de fraude.
  • Réception de spams ou d’e-mails de phishing (hameçonnage).
  • Signalements de vulnérabilités manquant d’informations suffisantes pour être exploités.

Comment soumettre votre signalement ?

  • Signalez la vulnérabilité le plus rapidement possible via le formulaire au bas de cette page ou à l’adresse security@monta.nl. Nous acceptons les e-mails chiffrés via PGP (la clé publique est téléchargeable sur https://gomonta.com/pgp.txt).
  • Fournissez suffisamment de détails techniques pour nous permettre de reproduire l’anomalie. En général, l’adresse IP ou l’URL du système concerné ainsi qu’une description de la faille suffisent, mais des cas plus complexes peuvent exiger davantage de contexte. Merci de préciser également l’impact potentiel de la vulnérabilité.
  • N’exploitez la faille que dans la stricte mesure nécessaire pour confirmer son existence. Veillez à ne pas compromettre la confidentialité des données, l’expérience utilisateur ou l’intégrité de nos systèmes de production.
  • Abstenez-vous d’exploiter la faille en téléchargeant plus de données que nécessaire pour prouver la fuite, et ne consultez, ne supprimez, ni ne modifiez aucune donnée tierce.
  • Accordez-nous un délai raisonnable pour déployer un correctif. Gardez ces informations strictement confidentielles et ne les partagez pas avec des tiers jusqu’à la résolution du problème.
  • Supprimez immédiatement toute donnée confidentielle dès votre signalement effectué.

Nos engagements suite à votre signalement

  • Nous accuserons réception de votre rapport dans un délai de 10 jours ouvrés, en y incluant notre évaluation technique et une date de résolution estimée.
  • Votre signalement sera traité avec la plus stricte confidentialité. Vos données personnelles ne seront jamais partagées avec des tiers sans votre accord préalable, sauf obligation légale.
  • Nous vous tiendrons informé de l’avancement du déploiement des correctifs.
  • En fonction de la criticité de la vulnérabilité et de la qualité de votre rapport, nous pourrons vous attribuer une récompense pour vous remercier de votre aide (merci de vous référer aux conditions de notre programme dédié).
  • Nous collaborerons avec vous pour garantir que la divulgation publique de la faille, le cas échéant, se fasse de manière coordonnée et consensuelle.

Périmètre d’application (In-scope)

Cette politique de sécurité s’applique exclusivement aux systèmes et applications officiels de Monta suivants :

  • L’ensemble des domaines publics de Monta (par exemple Monta.co.uk) et leurs sous-domaines.
  • La plateforme MontaWMS.
  • Les applications et solutions mobiles officiellement éditées et publiées par Monta.

Exclusions du périmètre (Out-of-scope)

Sont exclus de notre politique de divulgation et ne doivent en aucun cas faire l’objet de tests :

  • Les systèmes, infrastructures et données appartenant à nos clients, partenaires ou fournisseurs.
  • Les environnements de production pour lesquels aucune autorisation explicite ne vous a été accordée.
  • Les méthodes de test susceptibles de perturber ou d’interrompre nos opérations logistiques et techniques (attaques par déni de service [DDoS] ou tentatives de force brute).
  • Les intrusions physiques (tentatives d’accès à nos entrepôts ou bureaux), les techniques d’ingénierie sociale (phishing, manipulation) ou tout autre test non technique.

Conditions de notre programme de récompense

  • Monta se réserve le droit de déterminer l’éligibilité à une récompense et sa nature, en fonction du niveau de risque associé à la vulnérabilité identifiée. L’évaluation de ce risque incombe à nos équipes. Pour être validé, un signalement doit être fondé et inédit.

    Une rémunération peut prendre les formes suivantes :
    • Une inscription dans notre Hall of Fame, avec une mention dédiée sur cette page et au sein de notre fichier security.txt.
    • Un mug.
    • Un T-shirt.
    • Des cartes-cadeaux pour un montant maximum de 250 euros.
  • Aucune récompense ne sera accordée en cas de non-respect des règles établies par cette politique.
  • Si le signalement ne constitue pas une véritable vulnérabilité ou s’il présente un risque jugé faible, aucune contrepartie ne sera proposée. Nous vous invitons à consulter la section relative aux exceptions pour voir des exemples précis de failles non récompensées.
  • En cas de signalements multiples concernant une même faille, la récompense revient exclusivement à la première personne l’ayant documentée. Monta détermine l’existence de doublons sans pour autant partager les détails techniques des signalements concurrents.
  • Une récompense octroyée est strictement personnelle et n’est attribuée qu’à une seule personne.
  • Les récompenses attribuées par le passé ne constituent pas une garantie quant à l’octroi de futures compensations.
  • Les signalements effectués de manière anonyme sont d’office exclus du programme de récompense.

Exceptions au programme de récompense

Si la vulnérabilité identifiée présente un risque faible ou un niveau de risque préalablement accepté, Monta se réserve le droit de ne pas octroyer de récompense. À titre indicatif, voici quelques exemples de vulnérabilités non récompensées (cette liste n’est pas exhaustive) :

  • Codes HTTP 404 ou tout autre code distinct d’un HTTP 200.
  • Ajout de texte brut sur les pages 404.
  • Bannières de version apparentes sur les services publics.
  • Fichiers et dossiers accessibles publiquement ne contenant aucune information sensible.
  • Détournement de clics (Clickjacking) sur des pages dépourvues de fonctionnalité de connexion.
  • Falsification de requête intersites (CSRF) sur des formulaires accessibles de manière anonyme.
  • Absence des attributs « secure » ou « HTTP Only » sur des cookies non sensibles.
  • Utilisation des méthodes HTTP OPTIONS et TRACE.
  • Injection d’en-tête hôte (Host Header Injection).
  • Absence d’enregistrements SPF, DKIM et DMARC.
  • Absence de protocole DNSSEC.
  • En-têtes de sécurité HTTP manquants ou mal configurés, notamment :
    • Strict-Transport-Security (HSTS).
    • HTTP Public Key Pinning (HPKP).
    • Content-Security-Policy (CSP).
    • X-Content-Type-Options.
    • X-Frame-Options.
    • X-XSS-Protection.

Vous avez une question spécifique ?

Pour toute question relative à cette politique de sécurité, écrivez-nous à l’adresse security@monta.nl. Parce que l’amélioration continue est au cœur de nos processus, nous sommes également à votre entière écoute si vous avez des suggestions pour optimiser cette politique.

Vous signalez une vulnérabilité.
Nous prenons le relais !

Que souhaitez-vous signaler ?
Veuillez joindre une capture d’écran de la faille que vous avez constatée.
Taille maximale du fichier : 128 MB.

Signalez-le et contribuez à renforcer notre sécurité !