Point de contact pour les failles de sécurité

Politique de divulgation responsable

Chaque jour, les spécialistes de Mercier Van Lanschot travaillent à l'amélioration des systèmes et des processus afin de protéger les données de nos clients contre les abus et de garantir la disponibilité des services. Malgré tous ces efforts, nos systèmes ne sont hélas jamais à l'abri de failles et  nous comptons aussi sur votre aide pour nous les signaler. 

Qui peut signaler une faille ?

Quiconque découvre une faille potentielle dans les systèmes de Mercier Van Lanschot.

Quelle est la portée ? 

Seuls les domaines suivants (et tous les sous-domaines sous-jacents) relèvent du programme de divulgation responsable :

• vanlanschotkempen.com
• merciervanlanschot.be

Quelles failles pouvez-vous signaler ?

Vous pouvez signaler tout problème concernant la sécurité des services proposés par Mercier Van Lanschot sur Internet. Exemples de failles que vous pouvez signaler :

• Exécution de code à distance
• Failles de Cross Site Scripting (XSS)
• Failles de Cross Site Request Forgery (CSRF)
• Failles d'injection de SQL
• Failles en matière de cryptage
• Accès non autorisé à des données

Exclusions

• Tous les signalements sans rapport clair avec la preuve de l'exploitation possible

• Les soumissions doivent provenir de recherches et d'analyses humaines directes ; les rapports générés ou rédigés par des outils d'IA ne seront pas acceptés

• Problèmes concernant des enregistrements SPF / DKIM / DMARC
• Prise d'empreintes digitales/divulgation de la bannière de version dans les services généraux/publics
• Fichiers et dossiers accessibles au public, sans informations sensibles (par ex. robots.txt)
• Présence d'une fonctionnalité « remplissage automatique « ou « sauvegarde du mot de passe ».
• Failles de Cross Site Request Forgery (CSRF) sur des pages statiques et au niveau de la fonctionnalité de déconnexion
• Attaque par force brute sur les pages « Mot de passe oublié »
• Redirection de HTTP vers HTTPS
• OPTIONS HTTP activées
• Attaque par en-tête d'hôte
• Absence d'en-tête de sécurité HTTP comme : Strict-Transport-Security, X-Frame-Options, X-XSS-Protection, X-Content-Type-Options, Content-Security-Policy, X-Content
• Security-Policy, X-WebKit-CSP
• HTML ne spécifie pas de jeu de caractères
• HTML utilise un jeu de caractères non reconnu
• Absence de drapeaux « Secure » / « HTTP Only » sur les cookies non sensibles
• Problèmes de clickjacking
• Recensement des utilisateurs sur des sites web où il n'y a pas de transactions de paiement en ligne
• Versions de serveurs ou d'applications potentiellement obsolètes (provenant de parties externes) sans preuve que ces versions sont vulnérables et sans preuve d'exploitation.
• Signalements de protocoles SSL/TLS non sécurisés et d'autres problèmes de configuration
• Failles génériques de sécurité liées à des logiciels ou des protocoles qui ne sont pas sous le contrôle de Mercier Van Lanschot
• Attaques Distributed Denial of Service (DDoS)
• Techniques de spam ou d'ingénierie sociale
• Rapports de scans réguliers, comme les scanners de ports

Comment effectuer un signalement ?

Vous avez trouvé une faille ?

• Contactez-nous le plus rapidement possible par e-mail : responsibledisclosure@vanlanschot.com
• Décrivez le plus précisément possible le problème constaté.  Votre message sera lu par des spécialistes ; n'ayez donc pas peur d'utiliser du jargon technique si nécessaire. 
• Vous pouvez choisir d'ajouter vos coordonnées (nom et éventuellement numéro de téléphone) ou faire une déclaration anonyme.

Que ferons-nous avec votre message ?

Une équipe d'experts en sécurité étudiera votre message et y répondra dans les deux jours ouvrables. En attendant, ne rendez pas le problème public mais parlez avec nos experts et laissez-leur le temps de résoudre le problème. Nous vous ferons savoir ce que nous pensons de votre signalement, si nous allons déployer une solution et quand nous le ferons.

 

Récompense

En guise de remerciement, vous recevrez une compensation appropriée pour les failles que nous aurons réellement pu corriger ou qui auront entraîné une modification du service. Nous déciderons si la notification remplit les conditions requises et fixerons le montant de la récompense. Si vous avez droit à une récompense, nous aurons besoin de vos données personnelles pour pouvoir effectuer le paiement.

N.B. : Vous pouvez aussi déclarer la faille de manière anonyme. Nous ne pourrons toutefois pas prendre de dispositions avec vous dans ce cas concernant le suivi de votre déclaration, une éventuelle récompense et l'opportunité d'effectuer ou non une déclaration (voir « Quelles sont les règles du jeu ? »).

 

Quelles sont les règles du jeu ?

En enquêtant sur la faille que vous avez découverte, vous pourriez potentiellement commettre des actes punissables. Si vous avez agi de bonne foi, avec prudence et en respectant les règles du jeu, la banque n'aura aucune raison de faire une déclaration.  Tenez-vous-en donc aux règles suivantes au moment de votre enquête :

• Veillez à ne pas causer de dommages avec la faille détectée. Vos actes ne peuvent en aucun cas donner lieu à l'arrêt intentionnel des services ou à la publication de données bancaires ou de données des clients.
• N'utilisez pas d'ingénierie sociale pour accéder à un système.
• N'utilisez pas de scanners automatisés pour trouver des failles (comme Burp Suite Scanner, Acunetix, etc).
• Ne placez pas de back door (porte dérobée) dans un système informatique pour démontrer ensuite sa vulnérabilité, car cela pourrait causer des dommages supplémentaires et créer des risques de sécurité inutiles.
• Faites un usage minimal d'une faille en ne faisant que ce qui est nécessaire pour la constater.
• Ne modifiez ni ne supprimez aucune donnée du système et soyez aussi prudent que possible lorsque vous copiez des données (si un seul enregistrement suffit à démontrer le problème, n'allez pas plus loin).
• N'apportez pas de changements au système. 
• N'essayez pas d'accéder au système à plusieurs reprises et ne partagez pas l'accès obtenu avec d'autres personnes.
• N'utilisez pas la force brute pour accéder aux systèmes. En effet, il ne s'agira alors pas d'une faille, mais seulement de tentatives répétées d'utilisation du mot de passe.
• La récompense ne sera accordée qu'à la première personne ayant signalé la faille.

Qu'est-ce que vous ne pouvez pas signaler ? 

Le point de contact responsibledisclosure@vanlanschot.com n'est pas destiné à recevoir :

• des plaintes sur les services de Mercier Van Lanschot
• des signalements de fraude ou de présomption de fraude
• des signalements de faux mails ou d'e-mails de phishing
• des signalements de virus
• des plaintes ou questions sur la disponibilité des services Internet de Mercier Van Lanschot 
• des signalements de problèmes avec les distributeurs de billets

Vous voulez déposer une plainte au sujet des services de Mercier Van Lanschot ? Consultez alors la rubrique Pas satisfait.  Vous voulez signaler un des autres problèmes mentionnés ci-dessus ? Les Client Services de Mercier Van Lanschot se feront un plaisir de vous aider.

 

Protection de la vie privée

Pour le suivi du signalement, vous pouvez choisir de nous fournir vos coordonnées (nom, adresse e-mail et éventuellement numéro de téléphone). Vos données à caractère personnel seront traitées avec soin.  Vous en lirez plus à ce sujet dans notre Déclaration de respect de la vie privée sur  merciervanlanschot.be/fr-be/privacy-cookies

Autres conditions

En ce qui concerne la sécurité sur Internet et le respect de la vie privée, le droit applicable est le droit néerlandais. Nous n'acceptons que les signalements rédigés en néerlandais ou en anglais.  Pour le versement de la récompense, nous avons besoin de vos données à caractère personnel. Si plusieurs personnes font état de la même constatation en même temps, seule la première personne ayant effectué le signalement recevra la récompense.