Skip to main content
Français
Inscrivez-vous pour le WiFi invité gratuit

Introduction

Purple WiFi apprécie grandement le travail d'investigation sur les vulnérabilités de sécurité effectué par des chercheurs en sécurité éthiques et bien intentionnés. Nous nous engageons à enquêter de manière approfondie et à résoudre les problèmes de sécurité de notre plateforme et de nos services en collaboration avec la communauté de la sécurité afin de garantir la confidentialité, l'intégrité et la disponibilité des données de nos clients. Ce document vise à définir une méthode par laquelle Purple WiFi peut travailler avec la communauté des chercheurs en sécurité pour améliorer notre sécurité en ligne.

Portée

Cette politique de divulgation s'applique uniquement aux vulnérabilités des sites web de Purple WiFi et sous les conditions suivantes :

Seules les vulnérabilités originales, non signalées auparavant et non encore découvertes par des procédures internes sont incluses dans la portée.

Actuellement, seuls les domaines de sites web ci-dessous sont inclus dans la portée :

  • https://*.purpleportal.net/*

Les sites web/domaines suivants sont spécifiquement hors de portée :

  • *.purple.ai*

Vulnérabilités hors de portée :

  • Les vulnérabilités volumétriques ne sont pas incluses dans la portée (c'est-à-dire que le simple fait de submerger notre service avec un volume élevé de requêtes n'est pas inclus).
  • Les faiblesses de configuration TLS (par exemple, la prise en charge de suites de chiffrement « faibles », la prise en charge de TLS1.0, etc.) ne sont pas incluses dans la portée.
  • Vulnérabilités dans les environnements hors production
  • Rapports provenant directement de scanners de sécurité
  • Énumération des numéros de version
  • Problèmes de configuration des enregistrements DNS

Cette politique s'applique à tout le monde, y compris au personnel de Purple WiFi et aux fournisseurs tiers.

Signaler une vulnérabilité

Si vous avez découvert un problème que vous estimez être une vulnérabilité de sécurité incluse dans la portée, veuillez envoyer les détails suivants par e-mail àsecurity@purple.ai incluant :

  • Votre nom
  • Le site web ou la page où se trouve la vulnérabilité
  • Une brève description de la classe (par exemple, « vulnérabilité XSS ») de la vulnérabilité. Veuillez éviter d'inclure des détails permettant la reproduction du problème à ce stade. Des détails seront demandés ultérieurement, via des communications chiffrées. Veuillez lire ce document dans son intégralité avant de signaler toute vulnérabilité afin de vous assurer que vous comprenez la politique et que vous pouvez agir en conformité avec celle-ci.

Malheureusement, nous ne sommes pas en mesure de proposer actuellement un programme de bug bounty rémunéré. Cependant, nous souhaitons offrir aux rapporteurs de vulnérabilités éligibles une lettre de recommandation écrite en signe de notre reconnaissance pour leur dévouement à la protection de nos données et de celles de nos clients.

Conseils

Les chercheurs en sécurité ne doivent pas :

  • Accéder à des quantités inutiles de données. Par exemple, 2 ou 3 enregistrements suffisent pour démontrer la plupart des vulnérabilités (telles qu'une vulnérabilité d'énumération ou de référence directe à un objet).
  • Révéler le problème à des tiers avant qu'il ne soit résolu.
  • Violer la vie privée des utilisateurs, du personnel, des prestataires, des systèmes, etc. de Purple WiFi. Par exemple, en partageant, redistribuant et/ou en ne sécurisant pas correctement les données extraites de nos systèmes ou services.
  • Communiquer toute vulnérabilité ou détail associé via des méthodes non décrites dans cette politique ou avec toute personne autre que votre contact de sécurité Purple WiFi dédié.
  • Modifier des données dans nos systèmes/services qui ne vous appartiennent pas.
  • Profiter de la vulnérabilité ou du problème que vous avez découvert, par exemple en téléchargeant plus de données que nécessaire pour démontrer la vulnérabilité ou en supprimant ou modifiant les données d'autrui.
  • Perturber nos services et/ou systèmes ou
  • Divulguer toute vulnérabilité à des tiers ou au public avant que Purple WiFi ne confirme que la vulnérabilité a été atténuée ou rectifiée.
  • Conserver les données extraites pendant la recherche plus longtemps que nécessaire, et au maximum, pas plus d'une semaine après la résolution de la vulnérabilité, selon la première éventualité.
  • Dépasser un taux de requêtes par seconde (RPS) d'une requête par seconde est considéré comme un taux acceptable. Ne causez aucune destruction de données sur les services.

En retour, Purple WiFi s'engage à :

Répondre à votre rapport dans les 10 jours ouvrables avec notre évaluation du rapport et une date de résolution prévue, fournir une clé et les instructions nécessaires pour les communications chiffrées des détails et documents pertinents les plus sensibles. Veuillez noter qu'en raison de la pandémie actuelle, nous nous efforcerons de respecter ces délais, mais cela ne sera peut-être pas toujours possible.

Si vous avez suivi la politique telle que définie sur cette page, nous n'engagerons aucune action en justice contre vous concernant le rapport si vous :

  1. traitez votre rapport avec une stricte confidentialité et ne transmettez pas vos coordonnées personnelles à des tiers sans notre autorisation.
  2. vous tenez informé de l'avancement de la résolution du problème.
  3. dans les informations publiques concernant le problème signalé, nous indiquerons votre nom ou pseudonyme en tant que découvreur du problème (sauf si vous en décidez autrement).

Si vous n'êtes pas sûr, à n'importe quelle étape, que les actions que vous envisagez de prendre sont acceptables, veuillez contacter notre équipe de sécurité pour obtenir des conseils (veuillez ne pas inclure d'informations sensibles dans les communications initiales) :security@purplewifi.com

Aspects juridiques

Cette politique est conçue pour être compatible avec les bonnes pratiques courantes parmi les chercheurs en sécurité bien intentionnés. Elle ne vous autorise pas à agir d'une manière incompatible avec la loi ou à amener Purple WiFi à enfreindre l'une de ses obligations légales, y compris, mais sans s'y limiter :

  • The Computer Misuse Act (1990)
  • Le Règlement général sur la protection des données 2016/679 (GDPR) et le Data Protection Act 2018
  • The Copyright, Designs and Patents Act (1988)

Purple WiFi ne cherchera pas à poursuivre tout chercheur en sécurité qui signale, de bonne foi et conformément à cette politique, toute vulnérabilité de sécurité sur un service Purple WiFi inclus dans le périmètre.

Commentaires

Si vous souhaitez nous faire part de vos commentaires ou suggestions sur cette politique, veuillez contacter notre équipe de sécurité à l'adresse ci-dessous :
security@purple.ai

Cette politique évoluera au fil du temps et votre contribution sera précieuse pour garantir qu'elle soit claire, complète et reste pertinente.

Divulgation responsable

Créé le 08 juin 2023

Dernière mise à jour le 06 juillet 2023

À propos de nous
Carrières
Rapport B Corp
Forfaits
Fonctionnalités WiFi invité
Tarification WiFi invité
Services professionnels
Réserver une démo
Politiques
Mentions légales
Politique de confidentialité
Conditions d'utilisation
Mes données
Politique en matière de cookies
SLA standard
Support et conseils
Calculateur de ROI
Calculateur de prix
Support Purple
Whatsapp
© 2026 Purple. Tous droits réservés.
Gérer les préférences de cookies