Introduction
Chez LemFi, nous nous engageons à améliorer constamment notre sécurité. La présente Politique de divulgation des vulnérabilités est publiée par Pomelo Technology US Inc. (située au 251 Little Falls Drive, Wilmington, DE 19808, États-Unis) et s'applique à elle ainsi qu'à son groupe de sociétés et filiales (ci-après désignées collectivement « LemFi », « nous », « notre » ou « nos »). Nous apprécions les retours des chercheurs en sécurité et du grand public. Si vous pensez avoir découvert une vulnérabilité, un problème de confidentialité, des données exposées ou tout autre problème de sécurité concernant nos actifs, veuillez nous contacter en suivant la procédure décrite ci-dessous.
Systèmes dans le périmètre
La présente politique s'applique aux actifs numériques détenus, exploités ou gérés par LemFi et énumérés ci-dessous.
Actifs concernés :
- lemfi.com
- [L'application mobile LemFi pour Android (package Google Play : com.lemonadeFinance.android)] 0
- [l'application mobile LemFi pour iOS (identifiant App Store : 1533066809)] 0
- app.lemonade.finance
Hors champ
Les vulnérabilités découvertes ou suspectées dans les systèmes hors périmètre doivent être signalées au fournisseur concerné ou à l'autorité compétente.
Les éléments suivants sont hors du champ d'application et ne doivent pas être testés dans le cadre de cette politique :
- tout système, actif, infrastructure ou service non expressément mentionné dans la section « Systèmes concernés » ci-dessus ;
- infrastructure, logiciels ou services détenus, exploités ou hébergés par des tiers (y compris nos fournisseurs de paiement, de KYC, bancaires, de cloud et autres), même lorsqu'ils sont utilisés pour fournir nos services ;
- environnements de test, de préproduction et de démonstration, de mise en scène, de test et de démonstration ;
- Systèmes informatiques d'entreprise LemFi, réseaux internes, comptes des employés et systèmes de messagerie électronique ou de courriel ;
- Pages de destination marketing de LemFi, comptes de médias sociaux et canaux de support client ;
- sécurité physique de tous les locaux ou du personnel de LemFi.
Les catégories de problèmes suivantes ne sont pas concernées et ne seront pas acceptées comme rapports valides :
- ingénierie sociale, hameçonnage ou toute autre attaque sous prétexte visant le personnel, les sous-traitants, les clients ou les partenaires de LemFi ;
- tests de déni de service ou tests volumétriques, y compris les tests de contrainte, de charge et d'épuisement des ressources ;
- résultats qui nécessitent un appareil rooté, jailbreaké ou autrement compromis, ou un navigateur ou un système d'exploitation obsolète ;
- En-têtes de sécurité manquants, chiffrements faibles, problèmes de configuration de certificats et autres constats similaires de bonnes pratiques sans impact démontré sur la sécurité ;
- XSS auto-infligée, détournement de clic sur des pages sans actions sensibles et autres problèmes théoriques sans preuve de concept fonctionnelle ;
- vulnérabilités dans les logiciels ou bibliothèques tiers, sauf si vous pouvez démontrer un impact exploitable sur un actif LemFi concerné.
Nos engagements
Lorsque vous travaillez avec nous dans le respect de cette politique, vous pouvez vous attendre à ce que nous :
- Nous répondrons rapidement à votre signalement et travaillerons avec vous pour le comprendre et le valider ;
- Vous tenir informé de l'avancement du traitement d'une vulnérabilité ;
- S’efforcer de corriger les vulnérabilités découvertes dans les meilleurs délais, compte tenu de nos contraintes opérationnelles ; et
- Étendez la protection de la sphère de sécurité à vos recherches sur les vulnérabilités liées à cette politique.
Cette politique est soutenue par notre partenaire, Inspectiv, qui évaluera les vulnérabilités valides. Pour les signalements de vulnérabilités avérées, Inspectiv versera une récompense financière au chercheur en notre nom, le montant étant intégré à sa plateforme.
Nos attentes
En participant de bonne foi à notre programme de divulgation des vulnérabilités, nous vous demandons de :
- Respectez les règles, notamment la présente politique et tout autre accord pertinent. En cas d'incohérence entre la présente politique et nos Conditions d'utilisation ou notre Politique d'utilisation acceptable concernant les recherches de sécurité autorisées menées conformément à la présente politique, cette dernière prévaudra.
- Signalez rapidement toute vulnérabilité que vous avez découverte ;
- Évitez de porter atteinte à la vie privée d'autrui, de perturber nos systèmes, de détruire des données et/ou de nuire à l'expérience utilisateur ;
- Évitez les tests volumétriques ou les tests qui pourraient entraîner un déni de service ;
- Utilisez uniquement les canaux officiels (décrits ci-dessous) pour discuter avec nous des informations relatives aux vulnérabilités ;
- Accordez-nous un délai raisonnable (au moins 90 jours, ou une période plus longue que nous pourrions raisonnablement demander par écrit lorsque la correction nécessite plus de temps) à compter du signalement initial pour résoudre le problème avant de le divulguer publiquement, et gardez le rapport et toute information obtenue au cours de vos recherches strictement confidentiels jusqu'à ce que ce délai soit écoulé et que la vulnérabilité ait été corrigée ;
- Effectuez les tests uniquement sur les systèmes inclus dans le périmètre et respectez les systèmes et activités qui n'en font pas partie ;
- N’effectuez aucun test qui enfreint les lois ou réglementations applicables ou qui perturbe ou compromet des données qui ne vous appartiennent pas ;
- Si une vulnérabilité permet un accès non autorisé à des données : limitez l’accès aux données au strict minimum nécessaire pour démontrer efficacement une preuve de concept ; et cessez immédiatement les tests et soumettez un rapport si vous découvrez des données utilisateur lors des tests, telles que des informations personnelles identifiables (IPI), des données personnelles (telles que définies par le Règlement général sur la protection des données [RGPD] au Royaume-Uni et dans l’UE/EEE), des données de carte de crédit ou des informations confidentielles. Vous ne devez ni conserver, ni copier, ni stocker, ni transférer, ni divulguer, ni vendre, ni utiliser ces données de quelque manière que ce soit, et vous devez les supprimer ou les détruire de manière sécurisée (ainsi que toutes les copies) dès que la première des dates suivantes est : (a) notre demande écrite et (b) la confirmation que la vulnérabilité a été corrigée.
- Vous ne devez interagir qu'avec les comptes de test dont vous êtes propriétaire ou avec l'autorisation explicite du titulaire du compte ;
- Ne vous livrez pas à l'extorsion ; et
- Vous n'êtes pas, et n'agissez pas au nom d'une personne qui est (i) située, résidant habituellement ou organisée dans un pays ou territoire faisant l'objet de sanctions globales administrées par le Royaume-Uni, l'UE, les États-Unis (OFAC) ou l'ONU, ou (ii) sur une liste de sanctions ou de parties restreintes tenue par l'une de ces autorités.
Récompenses
Les soumissions VDP ne sont pas éligibles au paiement de primes d'Inspectiv, veuillez visiter https://app.inspectiv.com/ pour consulter nos programmes de primes aux bogues actuels.
Chaînes officielles
Veuillez signaler les problèmes de sécurité ici : https://client.inspectiv.com/vdp/lemfi/submit-report
Veuillez fournir toutes les informations pertinentes. Plus vous nous fournirez de détails, plus il nous sera facile de diagnostiquer et de résoudre le problème.
Si vous rencontrez des difficultés pour soumettre votre vulnérabilité sur notre plateforme, veuillez nous contacter à l'adresse programs@inspectiv.com. Nous traiterons votre demande par courriel. Veuillez ne pas contacter directement nos clients ; ils vous redirigeront vers nous.
Safe Harbor
Lorsque vous effectuez des recherches sur les vulnérabilités et que vous avez respecté cette politique, nous considérons que ces recherches sur les vulnérabilités sont :
- Recherche autorisée aux fins des lois anti-piratage applicables, et nous n'engagerons ni ne soutiendrons aucune action en justice contre vous pour des violations accidentelles et de bonne foi de cette politique ;
- Recherche autorisée aux fins des lois anti-contournement pertinentes, et nous ne porterons pas plainte contre vous pour contournement des contrôles technologiques ;
- Exemptés des restrictions de nos Conditions d'utilisation (CGU) et/ou de notre Politique d'utilisation acceptable (PUA) qui entraveraient la réalisation de recherches en matière de sécurité, et nous renonçons à ces restrictions de manière limitée ;
- Légal, utile à la sécurité générale d'Internet et mené de bonne foi.
Comme toujours, vous êtes tenu de respecter toutes les lois applicables. Si une action en justice est intentée contre vous par un tiers et que vous avez respecté la présente politique, nous prendrons les mesures nécessaires pour faire savoir que vos actions étaient conformes à celle-ci. Inversement, si vous n'avez pas respecté la présente politique, nous le ferons également savoir.
Si à tout moment vous avez des inquiétudes ou des doutes quant à la conformité de vos recherches en matière de sécurité avec cette politique, veuillez soumettre un rapport via l'un de nos canaux officiels avant d'aller plus loin.
Veuillez noter que la clause de non-responsabilité s'applique uniquement aux actions en justice relevant de la responsabilité de l'organisation participant à cette politique, et que cette dernière n'engage pas les tiers indépendants. En particulier, cette politique n'empêche pas, et ne peut empêcher, les poursuites engagées par une autorité compétente en vertu d'une loi de droit public (y compris, au Royaume-Uni, la loi de 1990 sur la cybercriminalité). LemFi s'engage à ne pas engager ni soutenir de telles poursuites à votre encontre si vous avez respecté cette politique.
Réserve de droits. En cas de violation de la présente politique et du droit applicable, nous nous réservons le droit d'engager ou de soutenir des poursuites judiciaires et d'en informer les autorités compétentes. La présente politique n'a aucune incidence sur les droits et recours dont nous disposons par ailleurs.
Droit applicable. La présente police d'assurance et toutes les obligations non contractuelles qui en découlent ou s'y rapportent sont régies par le droit anglais et gallois, et les tribunaux d'Angleterre et du Pays de Galles sont exclusivement compétents pour connaître de tout litige découlant de la présente police d'assurance ou s'y rapportant.