Politique de divulgation des failles

Introduction

JLL s’engage à collaborer avec nos clients pour travailler de manière plus éclairée dans le secteur de l’immobilier d’entreprise. Cela inclut la sécurisation de nos systèmes d’entreprise et la protection des données que nos clients et nos partenaires nous confient. La présente politique vise à fournir aux chercheurs en sécurité des consignes claires concernant les activités liées à la détection de failles et à indiquer nos préférences quant à la façon de nous communiquer les failles identifiées.

Veuillez noter que JLL ne dispose pas d’un programme de prime aux bugs. En soumettant une faille, vous reconnaissez n’attendre aucune rémunération et renoncer formellement à toute demande future de paiement auprès de JLL en lien avec votre soumission.

Cette politique décrit les systèmes et types de recherche auxquels elle s’applique, la procédure d’envoi des rapports sur les failles et le délai que nous demandons aux chercheurs en sécurité de respecter avant de dévoiler publiquement ces failles.

Nous vous encourageons à nous contacter pour signaler les failles potentielles dans nos systèmes.

Autorisation

Si vous vous efforcez en toute bonne foi de respecter cette politique lors de vos recherches de sécurité, nous considérerons que celles-ci sont autorisées. Nous collaborerons avec vous pour les analyser et résoudre les problèmes rapidement, et JLL ne recommandera pas ou n’entreprendra pas d’action en justice concernant vos recherches. Si une tierce partie engage une action en justice à votre encontre pour les activités menées conformément à la présente politique, nous ferons part de cette autorisation.

Consignes

Dans le cadre de cette politique, les « recherches » font référence aux actions suivantes de votre part :

  • Vous nous informez dès que possible après avoir détecté un problème de sécurité réel ou potentiel.
  • Vous déployez tous les efforts nécessaires pour éviter les atteintes à la confidentialité, la dégradation de l’expérience utilisateur, la perturbation des systèmes de production ainsi que la destruction ou la manipulation de données.
  • Vous n’utilisez une attaque que pour confirmer la présence d’une faille. Vous n’utilisez pas une attaque pour compromettre ou exfiltrer des données, mettre en place un accès permanent par ligne de commande ou accéder à d’autres systèmes.
  • Vous nous accordez un délai raisonnable pour résoudre le problème avant de le dévoiler publiquement.
  • Vous ne soumettez pas un grand nombre de rapports de mauvaise qualité.

Une fois que vous avez déterminé la présence d’une faille ou que vous parvenez à accéder à des données sensibles (y compris des informations permettant d’identifier personnellement un utilisateur, des informations financières, ou des informations propriétaires ou des secrets commerciaux de quelque origine que ce soit), vous devez arrêter votre test, nous notifier immédiatement et vous abstenir de dévoiler ces données à qui que ce soit d’autre.

Méthodes de test

Les méthodes de test suivantes ne sont pas autorisées :

  • Tests réseau par déni de service (DoS ou DDoS) ou autres tests altérant l’accès à un système ou à des données ou endommageant ceux-ci ;
  • Tests physiques (accès aux bureaux, portes ouvertes ou talonnage, par exemple), ingénierie sociale (phishing et hameçonnage vocal, par exemple) ou tout autre test non technique visant à détecter une faille.
Champ d’application

Cette politique ne s’applique qu’aux systèmes et services entièrement détenus et gérés par JLL.

Tous les services non répertoriés explicitement ci-dessus, tels que les services connectés, sont exclus et ne doivent faire l’objet d’aucun test. En outre, la présente politique ne s’applique pas non plus aux failles détectées dans les systèmes de nos fournisseurs. Celles-ci doivent leur être signalées directement conformément à leur politique de divulgation (le cas échéant). Si vous ignorez si un système entre ou non dans le champ d’application, contactez-nous à l’adresse vulndisclosure@jll.com.

Même si nous sommes susceptibles d’apporter notre aide au développement et à la maintenance d’autres systèmes accessibles via Internet, nous demandons à ce que les recherches et tests actifs soient exclusivement effectués sur des systèmes et des services couverts par la présente politique. Si vous estimez qu’un système particulier n’ayant pas été inclus dans le champ d’application devrait être testé, veuillez nous contacter pour en discuter avant d’effectuer le moindre test. Nous évaluerons le champ d’application de la politique au fil du temps.

Les informations soumises dans le cadre de cette politique seront uniquement utilisées à des fins défensives, pour limiter l’impact des failles ou y remédier. Si vos résultats incluent de nouvelles failles qui affectent tous les utilisateurs d’un produit ou service et pas uniquement JLL, nous sommes susceptibles de transmettre votre rapport à la Cybersecurity and Infrastructure Security Agency, où il sera soumis à leur procédure coordonnée de divulgation des failles. Nous ne communiquerons pas votre nom ou vos coordonnées sans autorisation expresse.

Nous acceptons de recevoir des rapports concernant les failles via l’adresse vulndisclosure@jll.com. Les rapports peuvent être envoyés de façon anonyme. Si vous communiquez vos coordonnées, nous accuserons réception de votre rapport dans un délai de trois jours ouvrés.

Nous n’acceptons pas les e-mails avec chiffrement PGP.

Ce que nous attendons de vous

Pour nous aider à trier et à hiérarchiser les envois, nous vous invitons à appliquer les recommandations suivantes concernant vos rapports :

  • Indiquez l’emplacement de la faille détectée et l’impact potentiel de son exploitation. 
  • Décrivez en détail les étapes nécessaires pour reproduire la faille (des scripts de démonstration de faisabilité ou des captures d’écran sont utiles).
  • Ils doivent être rédigés en anglais, dans la mesure du possible.
Ce que vous pouvez attendre de nous

Lorsque vous décidez de nous transmettre vos coordonnées, nous nous engageons à communiquer avec vous aussi ouvertement et rapidement que possible.

  • Nous accuserons réception de votre rapport dans un délai de trois jours ouvrés. 
  • Nous ferons de notre mieux pour vous confirmer l’existence de la faille et nous serons aussi transparents que possible sur les mesures prises au cours du processus de résolution, y compris concernant les problèmes ou les défis susceptibles de retarder celle-ci. 
  • Nous échangerons ouvertement au sujet des problèmes.
Questions

Vous pouvez envoyer vos questions relatives à la présente politique à l’adresse vulndisclosure@jll.com. Nous vous invitons également à nous contacter pour nous faire part de vos suggestions afin d’améliorer cette politique.