OnDeck s’engage à résoudre rapidement et soigneusement les vulnérabilités en matière de sécurité. En vue de protéger nos utilisateurs et leurs données, nous demandons à ce que les vulnérabilités nous soient signalées de façon responsable et confidentielle afin que nous puissions enquêter et réagir en conséquence. Les vulnérabilités ne doivent pas être annoncées jusqu’à ce que nous ayons développé et déployé une mise à jour.


 

Utilisations interdites du site Web d’OnDeck et types de recherche non autorisés en matière de sécurité

  • Nuire intentionnellement à l’expérience ou à l’utilité du service pour les autres
  • Causer, ou tenter de causer, un refus de service
  • Accéder, ou tenter d’accéder, à des données ou des renseignements qui ne vous appartiennent pas
  • Détruire ou corrompre, ou tenter de détruire ou de corrompre, des données ou des renseignements qui ne vous appartiennent pas
     

Si vous faites des recherches sur des problèmes de sécurité, particulièrement ceux qui peuvent compromettre la confidentialité d’autres utilisateurs, veuillez faire preuve de prudence afin de respecter la vie privée de nos utilisateurs. Lorsque c’est possible, vous devez effectuer tous les tests de vulnérabilité sur des produits de non-production pour réduire au minimum les risques à nos données et nos services.

Comment signaler une vulnérabilité informatique

Toutes les vulnérabilités informatiques sont examinées et suivies au moyen de notre système de soumission des bogues, HackerOne. Ce logiciel n’est actuellement pas public, mais vous pouvez demander à y avoir accès en écrivant à notre équipe de sécurité à l’adresse security@ondeck.com.  Veuillez prévoir jusqu’à 48 heures pour que votre demande soit reçue et traitée par l’équipe de sécurité d’OnDeck.

Détaillez la vulnérabilité potentielle afin que l’équipe de sécurité d’OnDeck puisse valider et reproduire le problème rapidement. Sans les renseignements ci-dessous, il peut être difficile, voire impossible, de corriger la faille potentielle. Les rapports énumérant plusieurs vulnérabilités potentielles sans fournir de détails ne seront pas traitées tant que des explications supplémentaires ne seront pas données.

Voici les renseignements à inclure:

  • Le type de vulnérabilité
  • Un scénario d’attaque concret. Quelle incidence le problème aura-t-il sur OnDeck et sur les utilisateurs et partenaires d’OnDeck? Quelle est la pire chose qui pourrait arriver si un pirate exploitait cette faille de sécurité?
  • Si les renseignements ont été publiés ou partagés avec d’autres parties
  • Les produits et les versions touchés
  • Les configurations touchées
  • Des instructions détaillées ou un code de démonstration de faisabilité permettant de reproduire le problème

Vulnérabilités non traitées

Nous examinons les problèmes de sécurité un à un. Voici quelques problèmes courants présentant un faible risque qui ne sont pas considérés comme d’importantes vulnérabilités de sécurité par OnDeck:

  • Défauts auxquels sont confrontés les utilisateurs en raison de navigateurs et de modules d’extension obsolètes
  • Détournement de clics sur des pages sans contenu confidentiel ni actions d’authentification ou de modification d’état
  • Vulnérabilités découlant de techniques de piratage psychologique
  • Protection par force brute sur la page de connexion
  • Falsification de requêtes intersites lors de la déconnexion
  • Toute attaque physique envers les biens ou les centres de données d’OnDeck  

Notre engagement envers la sécurité

Pour tous ceux qui signalent des vulnérabilités de sécurité en respectant la présente politique, OnDeck prendra les mesures suivantes:

  • Accuser réception du rapport
  • Enquêter rapidement et confirmer la vulnérabilité potentielle, si possible
  • Fournir un plan et une échéance quant à la résolution de la vulnérabilité, s’il y a lieu
  • Aviser la personne ayant signalé la vulnérabilité lorsque celle-ci est résolue

Reconnaissance des contributions

OnDeck est heureuse de reconnaître ceux qui ont contribué à rendre plus sûrs les services d’OnDeck en repérant et en signalant des vulnérabilités de sécurité conformément à la présente politique. Chaque nom indiqué représente un particulier ou une entreprise qui a révélé une ou plusieurs vulnérabilités de sécurité et qui a collaboré avec nous pour remédier au problème. Avec son accord, OnDeck peut souligner la contribution de la personne ayant signalé la vulnérabilité lors du dévoilement public de la faille, à la condition que la personne suive la présente politique.

OnDeck n’offre pas de rémunération pour le signalement de vulnérabilités de sécurité.

Voir Reconnaissance des chercheurs en sécurité d’OnDeck