Gérer les cookies
Nous utilisons des cookies pour vous offrir une meilleure expérience utilisateur et évaluer l'efficacité de nos publicités. Pour plus d'informations, consultez la Cookie Policy.
Paramètres des cookies
Les cookies nécessaires au bon fonctionnement du site web sont toujours activés.
Les autres cookies peuvent être configurés.
Cookies indispensables
Toujours activé
Toujours actifs. Ces cookies sont indispensables pour vous permettre d'utiliser le site web et ses fonctionnalités. Ils ne peuvent pas être désactivés. Ils sont enregistrés en réponse à des demandes que vous effectuez, telles que la configuration de vos préférences en matière de confidentialité, la connexion ou le remplissage de formulaires.
Cookies d'analyse
Personnes handicapées
Ces cookies collectent des informations qui nous aident à comprendre comment nos sites web sont utilisés, à évaluer l'efficacité de nos campagnes marketing et à personnaliser nos sites web en fonction de vos besoins. Consultez ici la liste des cookies analytiques que nous utilisons.
Cookies publicitaires
Personnes handicapées
Ces cookies fournissent aux agences publicitaires des informations sur votre activité en ligne afin de les aider à vous proposer des publicités en ligne plus pertinentes ou à limiter le nombre de fois où vous voyez une publicité. Ces informations peuvent être partagées avec d'autres agences publicitaires.
Cookies fonctionnels
Personnes handicapées
Ces cookies enregistrent les paramètres des visiteurs du site web, des utilisateurs et de leurs représentants afin de suivre les performances de la campagne promotionnelle.
D'accord
S'INSCRIRE
TILDA PUBLISHING

Programme Tilda Bug Bounty

~
1. Aperçu
Nous collaborons activement avec les chercheurs en sécurité et offrons des récompenses pour la découverte de failles dans la plateforme Tilda, y compris ses outils intégrés et les services associés.

Vous trouverez ci-dessous le règlement complet du programme ainsi que les instructions pour signaler une faille.
2. Informations générales : Portée du programme
2.1. Champ d'application
Ce programme couvre les vulnérabilités présentes dans les services, les outils et les applications web appartenant à Tilda.
Les tests de sécurité sont autorisés à condition qu'ils soient effectués :
  • En utilisant uniquement vos propres comptes Tilda.
  • Dans la limite des fonctionnalités disponibles dans le cadre de la formule tarifaire correspondante.
  • Sans perturber les systèmes de production.
Pour tester les fonctionnalités avancées, vous pouvez utiliser un compte bénéficiant d'un essai gratuit de 14 jours de la formule « Personal Plan ».
2.2. Hors champ d'application
Les sites web appartenant aux utilisateurs, ainsi que les failles de sécurité dans les services et intégrations tiers — tels que les prestataires de paiement, les services de livraison, les services de collecte de données, etc. — ne sont pas couverts, même s'ils sont connectés à Tilda.
Une exception peut s'appliquer lorsque la faille se situe du côté de Tilda — par exemple, un transfert de données incorrect, une fuite d'informations sensibles dans les requêtes, des défauts dans la logique d'intégration, etc.
Les catégories de rapports suivantes ne sont pas non plus concernées :
  • Self-XSS et toute autre vulnérabilité XSS dans l'éditeur.
  • Attaques DoS/DDoS.
  • Attaques par force brute sans preuve de contournement des mécanismes de protection.
  • Injection CSV.
  • Faiblesses de la politique de mots de passe sans possibilité de contourner l'authentification.
  • Une attaque CSRF affectant des actions à faible impact, telles que la déconnexion.
  • Clickjacking sans impact avéré sur la sécurité.
  • Absence de contrôles de sécurité ou d'en-têtes sans incidence concrète avérée.
  • Erreurs de configuration SSL/TLS.
  • Résultats de numérisation automatisée sans preuve de concept reproductible.
  • Divulgation d'informations non sensibles, telles que les numéros de version des logiciels.
  • Des vulnérabilités dues uniquement à l'utilisation de versions obsolètes de logiciels.
  • Ingénierie sociale.
  • Rapports qui ne démontrent pas d'impact réel sur la sécurité.
3. Catégories de vulnérabilité prioritaires
Nous accordons la plus haute priorité aux vulnérabilités qui affectent la confidentialité, l'intégrité ou la disponibilité des données, notamment :
  • Exécution de code côté serveur.
  • Injection SQL.
  • Contournement de l'authentification/autorisation.
  • Contrôle d'accès défaillant.
  • Falsification de requêtes côté serveur visant des services internes.
  • Attaque de type « cross-site scripting » ayant des répercussions sur d'autres utilisateurs.
  • Falsification de requêtes intersites affectant des actions sensibles.
  • Téléchargement de fichiers sans restriction.
  • Divulgation d'informations sensibles.
  • Des failles critiques dans la logique métier pouvant entraîner un accès non autorisé ou une élévation de privilèges.
4. Règles et restrictions du programme
Dans le cadre de ce programme, vous ne devez pas :
  • Effectuer des actions susceptibles de perturber le bon fonctionnement de la plateforme ou d'avoir des conséquences négatives pour les utilisateurs de la plateforme ou d'autres tiers.
  • Accéder sans autorisation aux comptes des utilisateurs.
  • Effectuer une exploitation automatisée à grande échelle.
  • Recourez à l'ingénierie sociale.
  • Allez au-delà du niveau d'exploitation minimal nécessaire pour confirmer la vulnérabilité.
  • Ne publiez pas de démonstration de faisabilité avant que la faille de sécurité ait été corrigée et que vous ayez reçu l'autorisation de l'équipe de sécurité de Tilda.
  • Divulguer publiquement les détails d'une vulnérabilité sans l'accord préalable de Tilda.
  • Veuillez indiquer toutes les données à caractère personnel recueillies au cours de vos recherches.
5. Comment signaler une faille de sécurité
Si vous avez découvert une faille de sécurité, envoyez-nous un e-mail à l'adresse suivante : bugbounty@tilda.cc
Objet de l'e-mail : Rapport de prime aux bogues d'
– [Brève description de la vulnérabilité]
Votre rapport doit comporter les éléments suivants :
  • Le service ou l'outil concerné.
  • Le type de vulnérabilité.
  • Une description des répercussions potentielles.
  • Instructions détaillées pour la reproduction.
  • Une démonstration de faisabilité, le cas échéant.
  • Recommandations en matière d'assainissement, le cas échéant.
Les rapports ne comportant pas d'étapes reproductibles risquent d'être rejetés.
Le délai de réponse initial moyen est d'un jour ouvrable.
6. Classification des vulnérabilités et récompenses
La classification et la gravité des vulnérabilités sont déterminées selon la taxonomie de notation des vulnérabilités (VRT) de Bugcrowd.
L'évaluation finale tient également compte des éléments suivants :
  • L'impact réel sur la confidentialité, l'intégrité et la disponibilité des données.
  • Un scénario d'exploitation réaliste.
  • La complexité et la reproductibilité de l'attaque.
  • L'ampleur des répercussions potentielles.
  • L'existence de circonstances atténuantes ou de restrictions.
Les récompenses sont calculées en fonction de la classification attribuée et vont de 25 $ à 3 000 $, conformément aux montants versés par les principales plateformes de chasse aux bugs telles que HackerOne et Bugcrowd.
Les récompenses ne sont versées que pour le premier rapport correct et valide concernant une vulnérabilité spécifique.
La décision finale concernant la classification de la vulnérabilité et le montant de la récompense est prise par l'équipe de sécurité de Tilda sur la base des critères établis.
7. Coordonnées
Rapports de vulnérabilité :
bugbounty@tilda.cc
Renseignements généraux :
team@tilda.cc
Conditions d'utilisation
Fabriqué le
Tilda