Règles du Bug Bounty

Code de conduite

• En dehors des Bounty-time, aucun contact avec les membres du comité ne sera toléré.
• Pas d'attaque de type Deni de service, ni Brute-Force, d'attaque par ingénierie sociale ou d'attaque physique et pas de spam !
• Ne pas divulguer publiquement de Bug avant que celui-ci ne soit fixé.
• Nous nous réservons le droit d'annuler ce programme à tout moment et la décision de payer une récompense reste entièrement à notre discrétion.
• Vous ne devez pas enfreindre la loi et rester dans le périmètre fixé.
• Vous ne devez ni perturber le service ni corrompre les données personelles.
• Tout manquement au règlement entraînera l’invalidité de la soumission voire l’exclusion du programme de Bug Bounty ou encore pire...

Généralités

• Chaque hunter aura l’obligation de créer un compte sur la dashboard afin de valider le règlement avant de chasser les bugs.
• Cette validation vaudra acceptation du présent réglement et du code de conduite.
• Chaque inscrit se verra attribuer le titre de membre d’HZV pour toute la durée de la Nuit Du Hack 2015.
• Aucun(s) employé(s) (actuel(le) ou passé) de QWANT, DENYALL ou Yax.it ne peut prétendre au programme

Comité de validations

• Décisionnel : Solo
• Metier : QWANT / DENYALL / Yax.it
• Post-intrusion : Julesi
• Pwnage : Onemore, Nicob
• Infrastructure + metier : Free_maN

Admissibilité

Règles pour être admissible à une récompense:

• Être la première personne à signaler une vulnérabilité.
• Soumission d’un bug qui pourrait compromettre l’intégrité des données des utilisateurs, contourner la protection de confidentialité des données des utilisateurs ou permettre l’accès à un système au sein de l’infrastructure, tels que : le countournement de l'authentification, injections XSS/SQL/XML, CSRF, SSRF, éxecution de code arbitraire distant... (QWANT, Yax.it)
• Exploitation de vulnérabilités sur une application Web vulnérable en bypassant les protections mises en place. (DENYALL)
• Si le problème que vous avez soumis n'atteint pas la gravité pour une prime , mais que nous pensons qu'il souligne quelque chose d'utile, nous serons heureux de vous rétribuer par un "Bounty"®.
• Seule une exploitation provenant d'une des adresses IP attribuées à la Nuit du Hack sera considérée comme valable.
• Le comité de validation se réserve le droit de décider si la soumission est admissible à un bounty ainsi que son montant ou à un "Bounty"®.

NON Admissibilité

Les bugs suivants ne sont pas admissibles au programme de récompense:

• Duplicat d’un bug déjà soumis
• Vulnérabilité de tous types pour laquelle l'exploitation est peu probable ou non reproductible (Valeur aléatoire ou difficile à obtenir et nécessaire à l'exploitation), CSRF dans la fonction de déconnexion.
• Flag “HTTP only” manquant sur les cookies touchant à l'authentification-identification.
• “Secure” flags manquant pour tous types de cookies .
• Headers “X-Frame-Options”, “Strict-Transport-Security”, “Nosniff”, “X-Xss-Protection” manquants
• Bugs de sécurité des sites Web tiers qui s’intègrent à Qwant ou Yax.it.
• Vulnérabilités par déni de service, bruteforce
• Contenus indésirables ou toutes autres techniques d’ingénierie sociale.
• Le comité de validation se réserve le droit de décider si la soumission est admissible à un bounty ainsi que son montant ou à un "Bounty"® (http://en.wikipedia.org/wiki/Bounty_(chocolate_bar))

Soumission des bugs

Veuillez respecter les règles suivantes:

• Utilisation exclusive du dashboard
• Fournir suffisamment d'informations pour analyser le cheminement de l'attaque ainsi que de pouvoir aisément la rejouer, ce qui simplifiera les validations des soumissions, ce qui aura un impact sur le montant de la récompense.
• La validité de chaque soumission ainsi que le montant des rétributions seront décidés par le comité de validation lors des Bounty-Time, répartis comme suit:
  • 10h30 Ouverture du Bounty, présentation du Bounty, comité de validations
  • 11h30 Fin du 1er créneau du bounty
  • 13h30 Bounty-Time, remise des Bounty
  • 19h15 Bounty-Time, remise des Bounty
  • 00h Bounty-Time, remise des Bounty
  • 05h ou 06h Bounty-Time, remise des Bounty

Denyall Bug Bounty Details

Le Bug bounty Denyall se deroulera en 4 phases dépendant du niveau de sécurité de l’infrastructure (du - au + secure).

Ces phases correspondent à chaque phase de Bounty Time.

• Premiere phase, les rétributions seront des Bounty
• Deuxième phase, les rétributions seront des goodies DenyAll

Les retributions financières débuteront à partir de la troisième phase (Après le Bounty Time de 19h15). Chaque Vulnérabilité peut être soumise lors de chaque phase.

Récompenses

• Hall of Fame (HoF) pour tous et pour toute la durée du Bounty
• Argent (par chèque) dans la limite du pool, montant selon criticité / élégance / documentation
• « Bounty »®

Glossaire

• Bounty-time : Laps de temps ou se réunit le comité de validations afin de discuter de la validité des soumissions ainsi que du montant des rétributions
• Bounty : récompense financière suite à signalement d'un bug pertinent, conforme au règlement et intéressant
• « Bounty » ®: récompense nutritive suite à signalement d'un bug pertinent et conforme au règlement (un vrai http://en.wikipedia.org/wiki/Bounty_(chocolate_bar))
• Dashboard : interface permettant aux Hunters de s'inscrire, de signaler des bugs et de suivre leur évolution
• Hunter : personne participant au concours et située physiquement sur le lieu de la Nuit du Hack