Règles du Bug Bounty

Code de conduite

• En dehors des Bounty-time, aucun contact avec les membres du comité ne sera toléré.

• Pas d'attaque de type Déni de service, ni Brute-Force, d'attaque par ingénierie sociale ou d'attaque physique et pas de spam !

• Ne pas divulguer publiquement de Bug avant que celui-ci ne soit fixé.

• Nous nous réservons le droit d'annuler ce programme à tout moment et la décision de payer une récompense reste à notre entière discrétion.

• Vous ne devez pas enfreindre la loi et rester dans le périmètre fixé.

• Vous ne devez ni perturber le service ni corrompre les données personnelles.

• Tout manquement au règlement entraînera l’invalidité de la soumission voire l’exclusion du programme de Bug Bounty ou encore pire...

Généralités

• Chaque hunter aura l’obligation d’avoir un compte sur la plateforme de Bug Bounty bountyfactory.io afin de valider le règlement avant de chasser les bugs et d'acceder aux différents programmes.

• Chaque Hunter du bug bounty de la nuit du hack sera sousmis via son incription aux conditions d'utilisation de la plateforme de bug bounty bountyfactory.io.

• Chaque inscrit se verra attribuer le titre de membre d’HZV pour toute la durée de la Nuit Du Hack 2016.

• Aucun(s) employé(s) (actuel(le) ou passé) des périmètres du programme ne peut prétendre au programme

Comité de validations

• Décisionnel : Solo
• Metier : Périmètre du programme
• Post-intrusion : Julesi
• Pwnage : Onemore, Nicob, Skunk

Admissibilité

Règles pour être admissible à une récompense:

• Respecter le reglement de chaque programme décrit sur bountyfactory.io

• Être la première personne à signaler une vulnérabilité.

• Soumission d’un bug qui pourrait compromettre l’intégrité des données des utilisateurs, contourner la protection de confidentialité des données des utilisateurs ou permettre l’accès à un système au sein de l’infrastructure, tels que : le contournement de l'authentification, injections XSS/SQL/XML, CSRF, SSRF, exécution de code arbitraire distant...

• Si le problème que vous avez soumis n'atteint pas la gravité pour une prime, mais que nous pensons qu'il souligne quelque chose d'utile, nous serons heureux de vous rétribuer par un "Bounty"®.

• Seule une exploitation provenant d'une des adresses IP attribuées à la Nuit du Hack sera considérée comme valable.

• Le comité de validation se réserve le droit de décider si la soumission est admissible à un bounty ainsi que son montant ou à un "Bounty"®.

NON Admissibilité

Les bugs suivants ne sont pas admissibles au programme de récompense:

• Duplicat d’un bug déjà soumis

• Vulnérabilité de tous types pour laquelle l'exploitation est peu probable ou non reproductible (Valeur aléatoire ou difficile à obtenir et nécessaire à l'exploitation), CSRF dans la fonction de déconnexion.

• Flag “HTTP only” manquant sur les cookies touchant à l'authentification-identification.

• "Secure" flags manquant pour tous types de cookies .

• Headers "X-Frame-Options", "Strict-Transport-Security", "Nosniff", "X-Xss-Protection" manquants

• Bugs de sécurité des sites Web tiers qui s’intègrent aux périmètres du programme.

• Vulnérabilités par déni de service, bruteforce

• Contenus indésirables ou toutes autres techniques d’ingénierie sociale.

• Le comité de validation se réserve le droit de décider si la soumission est admissible à un bounty ainsi que son montant ou à un "Bounty"® (http://en.wikipedia.org/wiki/Bounty_(chocolate_bar)

Soumission des bugs

Veuillez respecter les règles suivantes:

• Utilisation exclusive de la plateforme de Bug Bounty bountyfactory.io /(Check de pseudo/hash - Timestamp de soumission)/
• Fournir suffisamment d'informations pour analyser le cheminement de l'attaque ainsi que de pouvoir aisément la rejouer, ce qui simplifiera les validations des soumissions, ce qui aura un impact sur le montant de la récompense.
• La validité de chaque soumission ainsi que le montant des rétributions seront décidés par le comité de validation lors des Bounty-Time, répartis comme suit:
  • 10h30 Ouverture du Bounty, présentation du Bounty, comité de validations
  • 13h45 Bounty-Time, remise des Bounty et Goodies
  • 17h Bounty-Time, remise des Bounty et Goodies
  • 21h Bounty-Time, remise des Bounty et Goodies
  • 00h Bounty-Time, remise des Bounty et Goodies
  • 05h Bounty-Time, remise des Bounty et Goodies

Récompenses

• Hall of Fame (HoF) pour tous et pour toute la durée du Bounty
• Argent (par chèque) dans la limite du pool, montant selon criticité / élégance / documentation (Tous les paiements se feront au travers de la plateforme [BountyFactory.io][https://bountyfactory.io])
• « Bounty » ®

Glossaire

• Bounty-time : Laps de temps ou se réunit le comité de validations afin de discuter de la validité des soumissions ainsi que du montant des rétributions
• Bounty : récompense financière suite à signalement d'un bug pertinent, conforme au règlement et intéressant
• « Bounty » ®: récompense nutritive suite à signalement d'un bug pertinent et conforme au règlement (un vrai http://en.wikipedia.org/wiki/Bounty_(chocolate_bar))
• Dashboard : interface de la plateforme BountyFactory.io permettant aux Hunters de s'inscrire, de signaler des bugs et de suivre leur évolution
• Hunter : personne participant au concours et située physiquement sur le lieu de la Nuit du Hack