Programme de divulgation responsable (Responsible disclosure program)
Vous avez découvert des vulnérabilités sur les plateformes MC ? Signalez-les en échange d'une récompense.
La MC mise sur la sécurité numérique
La MC s’engage pour une sécurité numérique maximale en collaborant avec des hackers éthiques. En plus de mener des tests en interne, la MC autorise aussi des tests externes contrôlés dans le cadre d’un programme de divulgation responsable. Ce programme permet à des hackers éthiques, soumis à des conditions strictes, de rechercher et de signaler d’éventuelles vulnérabilités.
Comment voulons-nous y parvenir ?
En détectant et en traitant les vulnérabilités de manière proactive :
- La MC ne se contente pas de tester ses systèmes en interne : elle offre également à des hackers éthiques la possibilité de repérer des failles de sécurité.
- Cette approche ajoute une couche de protection supplémentaire contre la cybercriminalité.
- Les vulnérabilités sont identifiées plus rapidement, souvent avant même qu’elles ne deviennent publiques. Cela permet de mieux protéger la vie privée des membres.
Une démarche encadrée par une politique de divulgation responsable :
- Les personnes qui signalent des failles, ainsi que les hackers éthiques, peuvent le faire sous des conditions strictes.
- Toutes les actions sont menées en concertation, selon des règles établies garantissant la protection des données des membres.
- Cette politique est entièrement conforme à la législation belge.
Reconnaissance et encouragement de la communauté :
- La MC reconnaît la valeur des hackers éthiques, les récompense pour les signalements valides et les met à l’honneur via un Hall of Fame.
- Cela favorise une implication plus large dans la sécurité numérique.
Accords généraux
Toute personne physique ou morale peut signaler l’existence d’une éventuelle vulnérabilité. Le signalement doit être effectué par écrit, en suivant la procédure décrite ci-dessous.
La MC analyse et teste chaque signalement afin de vérifier s’il s’agit effectivement d’une vulnérabilité ou d’examiner la méthode utilisée par le rapporteur.
La MC s’engage à garantir l’exhaustivité, l’intégrité, la conservation sécurisée et la confidentialité de toutes les informations transmises dans le cadre du signalement. L’identité du rapporteur est également protégée, à condition qu’un tel souhait soit expressément formulé. L’ajout dans le Hall of Fame ne se fait qu’avec son autorisation explicite.
Les personnes qui signalent une vulnérabilité en respectant la procédure ne s’exposent à aucune conséquence juridique. Les actions nécessaires à la réalisation du signalement ne sont pas considérées comme des infractions, à condition que les conditions suivantes soient respectées :
- Le rapporteur a agi sans intention frauduleuse ni volonté de nuire.
- Il a averti au plus vite l’organisation responsable du système, du processus ou du contrôle concerné.
- Il ne s’est pas aventuré au-delà de ce qui était strictement nécessaire et proportionné pour vérifier l’existence de la vulnérabilité.
- Il n’a pas divulgué publiquement les informations concernant la vulnérabilité sans l’autorisation de la MC.
- Il n’a conservé aucune copie des données après avoir effectué le signalement.
Une personne ayant obtenu certaines informations dans le cadre de son activité professionnelle et les ayant incluses dans un signalement ne peut être poursuivie pour violation du secret professionnel, ni tenue responsable du partage de ces informations, dès lors que celles-ci sont strictement nécessaires pour signaler correctement la vulnérabilité à la MC.
Scope
- https://www.cm.be/nl/toepassingen/cm-gezondheidsacademie
- https://www.mc.be/fr/services-en-ligne/souscrire-assurance
- https://www.ckk-mc.be/online-dienste/versicherung-abschliessen
- https://www.cm.be/nl/toepassingen/zoek-een-zorgverlener-je-buurt
- https://www.mc.be/fr/services-en-ligne/rechercher-prestataire
- https://www.ckk-mc.be/online-dienste/leistungserbringer
- https://www.cm.be/nl/toepassingen/online-aangifte-ziekenhuisopname
- https://www.mc.be/fr/services-en-ligne/demande-intervention-hospitalisation
- https://www.ckk-mc.be/online-dienste/antrag-erstattung-krankenhausrechnung
- https://www.cm.be/nl/contact/contactformulier
- https://www.mc.be/fr/contact/formulaire
- https://www.ckk-mc.be/kontakt/formular
- https://www.cm.be/nl/contact/cm-in-je-buurt
- https://www.mc.be/fr/services-en-ligne/points-de-contact
- https://www.ckk-mc.be/online-dienste/kontaktpunkte
- https://www.cm.be/dimona
- https://www.mc.be/fr/services-en-ligne/dimona
- https://www.ckk-mc.be/online-dienste/dimona
- https://www.cm.be/nl/toepassingen/ezvk-aanvragen
- https://www.mc.be/fr/services-en-ligne/commander-ceam
- https://www.ckk-mc.be/online-dienste/ekvk-beantragen
- https://www.cm.be/jongeren
- https://www.cm.be/nl/toepassingen/toestemming-verwerking-medische-gegevens
- https://www.mc.be/fr/services-en-ligne/consentement-gdpr
- https://www.ckk-mc.be/online-dienste/einverstaendiserklaerung-gdpr
- https://www.cm.be/nl/doccle-documenten-raadplegen
- https://www.mc.be/fr/services-en-ligne/doccle
- https://www.ckk-mc.be/online-dienste/doccle
- https://www.cm.be/nl/toepassingen/gele-klevers
- https://www.mc.be/fr/services-en-ligne/commander-vignettes
- https://www.ckk-mc.be/online-dienste/aufkleber-bestellen
- https://www.cm.be/nl/toepassingen/welke-verzekering-past-bij-jou
- https://www.cm.be/nl/aanvraag-verzekeringsvoorstel
- https://www.cm.be/nl/toepassingen/bereken-je-premie
- https://www.cm.be/nl/jobs/vacaturelijst
- https://www.mc.be/fr/jobs/offres-emploi
- https://www.cm.be/nl/jobs/vacaturelijst/vacaturedetail
- https://www.mc.be/fr/jobs/offres-emploi/detail-offre
- https://www.cm.be/nl/jobs/alerts-beheer
- https://www.cm.be/nl/toepassingen/bereken-zelf-je-terugbetaling
- https://www.mc.be/fr/services-en-ligne/tarifs-officiels-remboursements
- https://www.ckk-mc.be/online-dienste/honorare-rueckerstattungen
- https://www.cm.be/nl/toepassingen/vergelijking-ziekenhuistarieven
- https://www.mc.be/fr/services-en-ligne/prix-hopitaux-belgique
- https://www.ckk-mc.be/online-dienste/krankenhaus-kosten-belgien
- https://www.cm.be/nl/toepassingen/aanmelden-op-mijn-cm
- https://www.mc.be/fr/services-en-ligne/connexion-ma-mc
- https://www.ckk-mc.be/online-dienste/sso-onboarding
- https://www.ckk-mc.be/online-dienste/meine-ckk
- https://www.cm.be/nl/lid-worden/je-bent-aangesloten-bij-een-ander-ziekenfonds
- https://www.mc.be/fr/services-en-ligne/affiliation-autre-mutualite
- https://www.ckk-mc.be/online-dienste/einschreibung-andere-krankenkasse
- https://www.cm.be/nl/toepassingen/communicatievoorkeuren-beheren
- https://www.mc.be/fr/services-en-ligne/preferences-de-communication
- https://www.ckk-mc.be/online-dienste/kommunikationspraeferenzen
- https://www.cm.be/nl/toepassingen/wat-kost-orthodontie
- https://www.cm.be/nl/toepassingen/mijn-cm-verzekeringen
- https://www.mc.be/fr/services-en-ligne/apercu-assurances
- https://www.ckk-mc.be/online-dienste/uebersicht-versicherungen
- https://www.cm.be/nl/domiciliering-zorgpremie-aanvragen
- Toutes les vulnérabilités décrites dans l’OWASP ASVS.
- Toute faille pouvant entraîner une fuite de données personnelles.
- Bruteforce, tant que le rythme ne dépasse pas 5 requêtes par seconde.
- Attaques perturbatrices ou destructrices (DDoS, etc.)
- Attaques de phishing
- Attaques physiques (intrusion, contournement de contrôles d’accès physiques, etc.)
- Divulgation de clés API sans impact métier prouvé
- Self-XSS
- Messages trop verbeux, fichiers ou listings de répertoires sans impact démontré
- Mauvaise configuration CORS
- Cookies sans flags de sécurité, sauf pour les cookies liés aux sessions
- En-têtes de sécurité manquants
- CSRF (Cross-Site Request Forgery) sans impact prouvé
- Attributs autocomplete sur les formulaires web
- Violations de bonnes pratiques (complexité, expiration ou réutilisation de mots de passe, etc.)
- Clickjacking
- Spoofing d’e-mails, SPF, DMARC ou DKIM
- E-mail bombing
- HTTP request smuggling sans impact démontré
- Banner grabbing ou divulgation de versions logicielles
- Ports ouverts sans impact prouvé
- Configurations SSL faibles ou rapports de scans SSL/TLS
- Divulgation de clés API sans impact prouvé
- Same-site scripting
- Téléversement arbitraire de fichiers sans impact démontré
- Blind SSRF sans impact métier prouvé
- Divulgation d’informations via les cookies sans impact démontré
- Injection HTML sans impact prouvé
Procédure de signalement
Contactez responsible.disclosur[email protected] en fournissant toutes les informations nécessaires pour reproduire la vulnérabilité, ainsi que l’endroit précis où vous l’avez détectée (URL, domaine, page web). Notre équipe sécurité vous enverra une invitation pour discuter des détails plus en profondeur.
La MC vous répondra dans un délai de 5 jours ouvrables après réception du signalement. Une analyse (triage) sera ensuite lancée dès que possible. La vulnérabilité fera ensuite l’objet d’un suivi quotidien jusqu’à ce qu’elle soit corrigée et testée à nouveau.
Récompense
- Tous les risques sont évalués sur base de la dernière version du calculateur CVSS. La récompense est déterminée en fonction du niveau de risque et versée après la mitigation de la vulnérabilité. La MC se réserve le droit d’adapter les montants des récompenses ainsi que la méthode de calcul des risques.
- Le paiement intervient uniquement après validation du correctif par le rapporteur.
- Une vulnérabilité n’est éligible à une récompense que si elle n’a pas déjà été signalée auparavant.
- Toute personne ayant découvert une vulnérabilité a également le droit d’être inscrite dans le Hall of Fame.
- Les salariés ou ex-salariés (internes ou externes) ayant travaillé pour la MC ou pour l’un de ses fournisseurs au cours des 12 derniers mois ne sont pas éligibles aux récompenses.
Paiement aux personnes physiques
Les récompenses versées aux personnes physiques sont payées en montants nets.
Après validation de la vulnérabilité signalée, la MC prend contact avec le rapporteur pour collecter les informations nécessaires au traitement de la récompense (après patch et re-test). Une fiche fiscale est ensuite rédigée et transmise à l’intéressé.
Paiement aux personnes morales
Les personnes morales peuvent, après validation de leur signalement, envoyer une facture à l’adresse e-mail indiquée dans la procédure de signalement.
| Prénom | Nom | Alias | Critique | Haut | Moyen |
|---|---|---|---|---|---|
| Robbe | Verwilghen | GrumpinouT | 0 | 0 | 2 |
| Yunish | Shrestha | Ystha | 0 | 1 | 1 |
| Idowu | Sogunle | Slonetwork | 0 | 0 | 1 |
| Vous n’êtes intégré au Hall of Fame que si vous y avez expressément consenti. Vous pouvez retirer ce consentement à tout moment. | |||||
