Signalement des vulnérabilités

Soyez acteur de la sécurité du Cloud

 

Chez Outscale, la sécurité est au cœur de nos valeurs et de nos métiers.

 

C’est pourquoi notre entreprise est entièrement certifié ISO27001 et notre Cloud conçu pour répondre aux exigences des organisations en termes de sécurité. Nous étudions sans cesse des normes supplémentaires, afin de vous garantir à tout moment l’excellence de notre infrastructure et la protection de vos données.

 

Parce que la sécurité est l’affaire de tous et de chaque instant, Outscale encourage le signalement de vulnérabilités : 

 

 

Vous voulez rejoindre notre équipe sécurité ?

Nous sommes sans cesse à la recherche de nouveaux talents ! Cliquez ici pour consulter nos offres.

 


 

Signaler des vulnérabilités et incidents

 

Vos remarques nous sont essentielles. Pour nous les signaler, différents outils sont à votre disposition : 

  • un programme de Bug Bounty (via Bountyfactory)
  • une plateforme de support Outscale (via Zendesk)
  • une adresse e-mail et une plateforme anonyme (via Zerodisclo)

 

 

 

 BUG BOUNTY

 

Contribuez à l’amélioration continue de nos services comme traqueur de bugs indépendant.

Si vous découvrez une faille de sécurité, vous pouvez être récompensé financièrement et être reconnu sur la plateforme via un système de points.

 

Comment participer ?

Consultez les modalités de nos programmes Bug Bounty pour


SUPPORT

 

Si vous êtes client Outscale, vous pouvez nous signaler une vulnérabilité en vous connectant à notre plateforme de support

Nos équipes s’engagent à traiter chaque signalement dans les meilleurs délais, et à vous tenir informé de sa résolution. 

 

Quelles informations nous transmettre ? 

Consultez nos recommandations pour rédiger un rapport de vulnérabilité ou d’incident efficace. 


ANONYME

Vous pouvez également nous signaler une vulnérabilité de manière anonyme. 

Comment faire ? 

 

Par e-mail à l’adresse bugbounty@outscale.com.

Nos équipes s’engagent à traiter votre signalement dans les meilleurs délais. 

 

Par la plateforme anonyme Zerodisclo avec YesWeHack.

Zerodisclo vous assure l’anonymat à l’aide du chiffrement PGP. Vous pouvez ensuite choisir de rester anonyme, ou de révéler votre identité pour être contacté ou remercié.


 

Signaler des e-mails suspects

 

Si vous recevez un e-mail prétendant émaner d’Outscale et dont la fiabilité vous paraît douteuse, il peut s’agir d’un e-mail de « phishing ».

Ces e-mails, qui semblent provenir d’une source fiable, sont en réalité envoyés par des personnes malveillantes qui tentent de vous piéger, par exemple en vous incitant à ouvrir une pièce jointe ou à cliquer sur un lien.

Ne cliquez en aucun cas sur les liens contenus dans ces e-mails suspects, car ils peuvent contenir des virus.

 

 

Vous avez un doute sur un e-mail au nom d’Outscale ? 

Un formulaire est à votre disposition pour nous le signaler :

 

Fields marked with an * are required
 
 
 
 

Pour plus d’informations, consultez les recommandations de L’ANSSI.

 

 


 

Rédiger un rapport de vulnérabilité ou d’incident 

 

Pour que nos équipes puissent résoudre une vulnérabilité, il est important que vous nous partagiez toute information utile à son sujet. 

Outscale met à votre disposition des exemples de rapports structurés pour vous aider à rédiger les vôtres :

 

 

 

Rapport de vulnérabilité

 

Titre  OWASP-A3 Cross-Site Scripting (XSS)
Description  Une personne malveillante peut provoquer une XSS. 
Origine de la vulnérabilité  Le filtrage n’est pas correct : la section description est laissée sous contrôle de l’utilisateur.
Reproduction (PoC) 
  1. Se connecter à son compte cockpit.
  2. Cliquer sur l’icône Instances.
  3. Renseigner dans la section documentation  la valeur suivante : <script>alert</script>.
Scénario d’attaque  Un attaquant forge le lien et l’envoie à d’autres utilisateurs.
Recommandations 

Il serait judicieux de filtrer plus efficacement les débuts de balises en les passant à la fonction adéquate.

Endpoint (URL)  https://cockpit-eu-west-2.outscale.com/login/
Pièces jointes   Xss.png

 

Rapport d’incident

 

Titre  Problème avec une instance inaccessible
Endpoint (URL)  https://cockpit-eu-west-2.outscale.com/login/
Description 

J’ai un problème avec une instance qui est inaccessible.

  • ID de compte : XXXXXXXXXX 
  • Région : eu-west-2 
  • ID de l’instance : I-xxxxxxxxx
  • Plateforme : Windows
  • Mon SecurityGroup à bien le port 3389 RDP ouvert sur mon IP.
  • Tout fonctionnait hier soir, mais impossible de me connecter depuis ce matin. 
  • Message output de cockpit : « Windows démarre, merci d’attendre, votre instance sera prête en 10 minutes ».

Pourriez-vous jeter un coup d’œil ?

Pièces jointes  screenshot.png