Autovig accueille favorablement la recherche en sécurité menée de bonne foi sur ses propriétés publiques. La présente politique est la politique de divulgation coordonnée de vulnérabilités (CVD) du responsable au sens de la norme ISO/IEC 29147:2018, de la Loi belge du 28 novembre 2022 (conditions du refuge CVD et rôle du Centre pour la Cybersécurité Belgique — CCB) et du Good Practice Guide on Vulnerability Disclosure de l'ENISA. Elle s'applique au site autovig.eu (le « Site »).
1. Canal de signalement
Adressez un signalement structuré unique à :
Objet de l'e-mail : indiquez signalement de sécurité
Clé PGP : TODO(pgp-key) — une fois publiée, la clé sera disponible sur cette page.
Si vous ne parvenez pas à nous joindre, ou si vous ne recevez pas d'accusé de réception dans le délai prévu à la section 6, vous pouvez transmettre le signalement au CSIRT national belge :
Vous pouvez nous écrire en anglais, français, allemand, néerlandais, roumain ou polonais.
2. Portée
Sont couverts :
autovig.eu et tout sous-domaine servant du contenu de production ;
le résultat du build statique : HTML, CSS, bundles JavaScript et données structurées que nous émettons ;
la bannière de consentement aux cookies et le stockage de consentement côté client.
3. Hors portée
Les sites des opérateurs tiers (ASFINAG, DARS, NÚSZ, BGTOLL, CNAIR, etc.) — adressez-leur vos signalements directement.
Les problèmes nécessitant une position privilégiée (navigateur déjà compromis, extension malveillante, accès physique à l'appareil de l'utilisateur).
Les résultats de scanners automatisés sans impact de sécurité clair et démontrable.
Les signalements portant sur des bonnes pratiques manquantes (en-têtes HTTP, configuration TLS, identification de versions logicielles) sans risque exploitable démontré.
Les tests de déni de service, l'ingénierie sociale visant le personnel ou les prestataires, les attaques contre des locaux physiques ou contre des prestataires tiers (hébergement, DNS, messagerie).
4. Contenu attendu du signalement
Une brève description du problème et l'URL ou le composant concerné.
Les étapes de reproduction, y compris le contenu de la requête lorsque cela est pertinent.
L'impact que vous estimez et un scénario d'exploitation réaliste.
La date, l'heure du test et le navigateur, l'outil ou le script utilisé.
Le nom ou pseudonyme sous lequel vous souhaitez être éventuellement remercié publiquement (section 8).
5. Ce que nous vous demandons
Ne consulter, modifier ou télécharger aucune donnée qui ne vous appartient pas. Si une mauvaise configuration expose les données d'un tiers, arrêtez et prévenez-nous — ne téléchargez pas plus que le minimum nécessaire pour étayer le constat.
Ne pas mener de tests de déni de service, d'ingénierie sociale, ni d'attaques contre des locaux physiques ou des prestataires tiers.
Nous laisser un délai raisonnable pour corriger avant toute divulgation publique (section 7).
Agir de bonne foi. Les signalements transmis dans l'intention sincère d'améliorer la sécurité sont les bienvenus ; les menaces, le chantage et la demande de paiement contre non-divulgation ne le sont pas.
6. Calendrier coordonné — nos engagements
Accusé de réception dans un délai de 5 jours ouvrables suivant la réception.
Tri (confirmation de portée, sévérité initiale) dans un délai de 10 jours ouvrables.
Mises à jour d'avancement sur les constats matériels au moins tous les 15 jours calendaires jusqu'à la clôture.
Correction dans un délai proportionné à la sévérité : les vulnérabilités critiques ou activement exploitées sont prioritaires ; les correctifs standards visent 90 jours calendaires à compter du tri ; tout délai supplémentaire est convenu avec vous et motivé.
Reconnaissance publique lors de la livraison du correctif, si vous le souhaitez (section 8).
7. Divulgation publique coordonnée
Nous suivons un modèle de divulgation coordonnée :
le signalement et le correctif restent confidentiels jusqu'à la livraison de la correction ou jusqu'à l'expiration du délai par défaut de 90 jours calendaires à compter du tri ;
le responsable et le chercheur s'accordent sur le contenu, l'attribution et le calendrier de toute publication ;
lorsqu'une faille concerne un tiers (opérateur, sous-traitant, bibliothèque), le délai peut être prolongé d'un commun accord afin de permettre à ce tiers de coordonner sa propre réponse ;
en cas de désaccord sur le calendrier, le dossier peut être porté à la connaissance du CCB (section 9).
8. Reconnaissance — absence de programme bug bounty à ce jour
Autovig n'exploite pas actuellement de programme bug bounty rémunéré. La reconnaissance prend la forme d'un crédit public sur la présente page (sous votre nom ou pseudonyme préféré) et d'un échange direct. Aucun engagement de récompense monétaire n'est pris ; si un programme est introduit ultérieurement, les conditions seront publiées ici avant qu'un signalement ne puisse s'en prévaloir.
9. Refuge et cadre légal belge
Nous renoncerons à toute action — et nous traiterons votre conduite comme autorisée au regard des incriminations belges relatives à l'accès non autorisé aux systèmes informatiques (en particulier les articles 550bis et 550ter du Code pénal) — dès lors que vous :
agissez de bonne foi avec l'intention sincère d'améliorer la sécurité ;
restez dans la portée définie à la section 2 et respectez la liste « hors portée » de la section 3 ;
n'accédez qu'au strict minimum de données nécessaire à l'établissement du constat et n'exfiltrez, ne conservez, ne publiez ni ne partagez aucune donnée de tiers ;
ne dégradez pas la disponibilité, l'intégrité ou la confidentialité au-delà du strict nécessaire à la démonstration de la faille ;
nous notifiez sans retard injustifié par le canal de la section 1 ;
respectez le calendrier de divulgation coordonnée de la section 7.
Cette autorisation est accordée par Autovig en sa qualité de responsable des actifs visés. Elle neutralise l'élément d'accès non autorisé des articles 550bis/550ter pour les actes dans la portée. Elle n'engage pas les autorités publiques ni les tiers dont les systèmes pourraient être incidemment affectés. Le chercheur qui notifie en outre le CCB et respecte les conditions de la Loi belge du 28 novembre 2022 (lanceurs d'alerte et divulgation coordonnée de vulnérabilités) bénéficie en outre du cadre légal de refuge CVD géré par le CCB, indépendamment de la présente autorisation contractuelle. En cas de doute, la politique CVD du CCB (https://ccb.belgium.be/fr/cvdp) constitue la référence.
10. Traitement de vos données à caractère personnel
Les données que vous transmettez lors d'un signalement (adresse e-mail, contenu du signalement, éventuel contenu chiffré PGP) sont traitées par Autovig en qualité de responsable du traitement, sur le fondement de l'intérêt légitime (article 6, §1, f) RGPD), aux fins de tri, de correction et de divulgation coordonnée. Les signalements sont conservés jusqu'à 5 ans après clôture, conformément aux indications de la politique CVD du CCB. Vos droits, la voie de réclamation auprès de l'APD/GBA et les autres informations RGPD figurent dans notre politique de confidentialité.
Sources