Déclaration de responsabilité

En tant que chercheur Intigriti, vous pouvez gagner de belles sommes d’argent. Si vous êtes prêt à rendre publiques vos activités de piratage responsable, vous pouvez recevoir des récompenses financières. Intigriti vous récompense pour chaque bug que vous détectez et soumettez avant les autres chercheurs. Veuillez noter qu’Intigriti n’accepte pas les inscriptions de chercheurs anonymes.

Si votre rapport de faille est valide et que vous souhaitez être reconnu pour votre contribution, nous vous ajouterons volontiers à notre « Brussels Airlines InfoSec Hall of Fame », en inscrivant ou non votre nom. Nous ne vous ajouterons bien sûr à notre « Hall of Fame » que si vous le demandez explicitement.

Si vous préférez ne pas communiquer votre nom et vos coordonnées, vous pouvez signaler une faille directement à Brussels Airlines. Toutefois, vous devez savoir que sans ces informations, nous ne serons pas en mesure de discuter avec vous des prochaines étapes ou de vous ajouter à notre « Hall of Fame ».

Pour nous signaler directement une faille, veuillez envoyer un e-mail à notre équipe de sécurité :

​InfoSec@brusselsairlines.com

Nos spécialistes liront votre rapport et commenceront tout de suite à y travailler.

Veuillez vous assurer que votre e-mail est clair et succinct. Veillez à inclure en particulier les informations suivantes :

• la description de la faille ou du risque découvert ;
  
• la preuve de la découverte (par ex., preuve du concept, vidéo, capture d’écran, etc.) ;
• les étapes que vous avez suivies ;
• l’URL complète ;
• les objets éventuellement impliqués.

Exemples de failles :

• failles de type cross-site scripting (XSS) ;
  
• failles par injection SQL ;
• exécution de codes à distance ;
• bypass d’authentification ;
• failles de chiffrement.

Afin que vos tests restent légaux, vous devez vous abstenir d’utiliser des techniques invasives ou destructrices. Respectez toujours ces règles :

• ne perturbez pas nos services en ligne ;
• n’utilisez pas de techniques pouvant influencer la disponibilité de nos services en ligne ;
• n’apportez aucune modification au système ;
• ne modifiez ou ne supprimez aucune donnée dans le système ;
• si votre découverte nécessite une copie de données du système, ne copiez pas plus que ce que votre enquête exige. Si un enregistrement suffit, ne copiez pas davantage ;
• ne rendez publique aucune donnée client ou commerciale ;
• ne créez pas de porte dérobée (backdoor) dans un système ;
• n’essayez pas de pénétrer le système plus que nécessaire. Si vous réussissez à pénétrer dans le système, ne partagez pas l’accès acquis avec d’autres personnes ;
• n'utilisez pas de techniques de force brute (p. ex. saisie répétée de mots de passe) pour accéder au système ;
• n’utilisez pas l’ingénierie sociale pour accéder à nos systèmes informatiques.

Pour obtenir le meilleur résultat possible, veuillez suivre les directives suivantes :

• créez votre rapport en néerlandais, en français ou en anglais. Les rapports rédigés dans d’autres langues ne seront pas traités ;
• donnez-nous suffisamment de détails pour nous permettre de reproduire la faille ;
• laissez-nous suffisamment de temps pour corriger la faille avant de rendre toute information publique ;
• consultez-nous avant de rendre toute information publique ;
• ne demandez pas à Brussels Airlines de vous dédommager pour votre rapport.

Vous pouvez attendre de nous les engagements suivants :

• nous vous informerons que nous avons reçu votre rapport ;
• nous vous donnerons une estimation du temps que prendra la correction ;
• nous vous indiquerons quand nous aurons corrigé la faille.

Vos informations personnelles ne seront utilisées que pour vous contacter au sujet de votre rapport de faille. Nous ne transmettrons pas vos informations personnelles à des tiers sans votre autorisation. Si la loi exige que nous fournissions vos informations personnelles à une autorité, nous nous assurerons que l'autorité compétente traite ces informations de manière confidentielle. Nous demeurerons responsables de vos informations personnelles.