Procédure légale de signalement des vulnérabilités

1. Signalement responsable des vulnérabilités de sécurité 

Chez MobilityPlus, nous prenons très au sérieux la sécurité de nos systèmes et services. Si vous découvrez une vulnérabilité, nous vous serions reconnaissants de nous la signaler de manière responsable.

Sur cette page, nous vous expliquons comment signaler une vulnérabilité en toute sécurité, ce que nous attendons de vous en tant que chercheur et ce que vous pouvez attendre de nous en échange.

2. Signaler une vulnérabilité 

 Si vous pensez avoir découvert une vulnérabilité dans l’un de nos systèmes, veuillez nous en informer dès que possible en envoyant un e-mail à l’adresse suivante : vulnerabilityreport@mobilityplus.be

Veuillez nous communiquer les informations suivantes :

  • Une description claire de la vulnérabilité.
  • Le système ou l’URL concerné(e)
  • Les étapes à suivre pour reproduire le problème
  • Les outils ou méthodes utilisés (le cas échéant)
  • Si vous souhaitez rester anonyme ou être mentionné

Nous vous demandons de ne pas rendre la vulnérabilité publique avant que nous ne l’ayons résolue.

3. Nos attentes envers vous 

Afin de garantir un processus de signalement responsable et conforme à la loi, nous vous demandons :

  • D’agir de bonne foi, sans intention malveillante
  • De limiter vos actions à ce qui est nécessaire et proportionné pour confirmer la vulnérabilité
  • D’éviter toute action susceptible de perturber les services, d’endommager les systèmes ou de compromettre des données
  • De ne jamais tenter d’exploiter la vulnérabilité ou d’accéder à plus de données que ce qui est strictement nécessaire
  • De supprimer dès que possible toute donnée obtenue
  • De garder les informations confidentielles jusqu’à ce qu’une divulgation coordonnée ait été convenue

Les actions préjudiciables ou excessives, telles que l’ingénierie sociale, les attaques par force brute, l’installation de logiciels malveillants ou la perturbation des services, ne sont pas autorisées.

4. Cadre juridique 

La loi belge offre une certaine protection aux chercheurs qui :

  • Agissent sans intention malveillante
  • Respectent les principes de proportionnalité et de nécessité
  • Signalent les vulnérabilités de manière correcte et responsable via le canal approprié

Attention :

  • Cette protection ne s’applique qu’en Belgique
  • Elle ne s’applique pas aux actions menées sur des systèmes ne relevant pas de la justice belge
  • Les actions malveillantes ou disproportionnées restent punissables

5. Nos engagements envers nous 

Lorsque vous signalez une vulnérabilité :

  • Nous accusons réception de votre signalement.
  • Notre équipe de sécurité examine la vulnérabilité et prend les mesures appropriées.
  • Nous vous tenons informé dans la mesure du possible
  • Si vous le souhaitez, nous vous mentionnons sur notre Wall of Fame dès que le problème est résolu et qu’une divulgation a été convenue
  • Nous convenons avec vous d’une éventuelle divulgation publique, dans les cas pertinents.

Dans les situations impliquant plusieurs organisations ou présentant un risque plus large pour le public, nous pouvons collaborer avec le Centre pour la cybersécurité Belgique (CCB).

6. Merci

Nous apprécions les efforts des chercheurs en sécurité qui nous aident à garantir la sécurité de nos systèmes.

Votre attitude responsable renforce la sécurité de nos produits, de nos clients et de l’écosystème au sens large.