Signalement d’une vulnérabilité
Notre agence digitale CibleWeb considère la sécurité des sites, modules et solutions que nous développons comme une priorité absolue. C’est pourquoi nous encourageons les chercheurs en sécurité à analyser nos solutions, notamment nos modules PrestaShop, et à nous signaler toute vulnérabilité identifiée, dans le respect des bonnes pratiques de divulgation responsable.
Comment signaler une vulnérabilité
Si vous pensez avoir identifié une faille de sécurité dans l’un de nos services ou modules, vous pouvez nous contacter de manière responsable à l’adresse suivante : contact@cibleweb.com
Merci de nous fournir le plus d’informations possible, notamment :
– Nom du module ou service concerné, avec la version exacte
– Version de la plateforme e-commerce utilisée (PrestaShop, Magento, WooCommerce, etc.)
– Description détaillée de la vulnérabilité et de son impact potentiel Étapes de reproduction précises
– Comportement observé vs comportement attendu
– Type de vulnérabilité (XSS, RCE, CSRF, injection SQL, etc.)
– Captures d’écran, payloads, preuves de concept (si disponibles)
– Contexte technique : configuration spécifique, version de PHP, type de serveur web, etc.
Les signalements non reproductibles ou sans lien direct avec nos développements seront ignorés.
Notre engagement pour une gestion responsable
Conformément à la Charte TouchWeb pour une cybersécurité responsable, CibleWeb s’engage à :
– Accuser réception de tout signalement pertinent sous 7 jours (CVSS ≥ 7.5)
– Analyser l’impact et planifier un correctif sous 30 jours
– Publier un avis de sécurité avec identifiant CVE si le score CVSS est ≥ 7.5
– Ne jamais publier un correctif de manière silencieuse
Éthique, respect et transparence
Nous nous engageons à :
– Ne pas engager de poursuites contre les chercheurs agissant de bonne foi
– Respecter la transparence des publications, y compris dans le cadre de projets en marque blanche
– Communiquer ouvertement avec les parties concernées pendant toute la durée du processus
Cette politique vise à protéger nos clients et à renforcer un écosystème numérique sûr, en conformité avec les exigences du standard PCI-DSS et de ses déclinaisons comme la SAQ-A.
Autorisation de publication
Nous autorisons expressément la société TouchWeb SAS à publier les informations relatives aux vulnérabilités corrigées de nos modules sur son site officiel, conformément à la Charte de cybersécurité responsable. Cette publication peut inclure :
– Un identifiant CVE
– Une note de sécurité claire sur le problème et sa résolution
– Les versions affectées et la version corrigée
– Un correctif autonome si la mise à jour complète n’est pas réalisable
– Toute information utile permettant aux utilisateurs et agences de se protéger rapidement
Publications
Aucune vulnérabilité connue ou publiée à ce jour.