-
Signaler un problème de cybersécurité
Programme responsable de signalement des failles de l'OIM
Afin d'améliorer la protection de ses systèmes et actifs liés aux technologies de l'information et de la communication (TIC), l'OIM encourage le public à contribuer à ses efforts en signalant les failles de ses systèmes et actifs accessibles au public et les problèmes de cybersécurité.
Ce qu'il faut signaler à l'OIM
Le public est invité à signaler les problèmes et incidents de cybersécurité, et les détails des failles associées aux systèmes de TIC de l'OIM accessibles au public, y compris les sites web.
Informations sur le signalement des failles
Les points suivants doivent être pris en compte lors du signalement des failles et des problèmes et incidents de cybersécurité à l'OIM :
-
La faille et/ou le problème ou incident de cybersécurité ne doit pas déjà avoir été divulgué publiquement.
-
La faille et/ou le problème ou incident de cybersécurité doit être signalé à l'OIM le plus rapidement possible après sa découverte.
-
Le déclarant doit préserver le caractère confidentiel des conclusions de la faille pendant au moins 90 jours après la date à laquelle la faille, le problème ou l’incident de cybersécurité a été signalé à l'OIM ou jusqu'à ce que la faille ait été divulguée publiquement sur ce site web.
-
La gravité d'une faille découverte est évaluée par l'OIM à sa seule discrétion.
-
Le nom et les coordonnées du déclarant peuvent être divulgués au(x) fournisseur(s) de technologie concerné(s), sauf demande contraire du déclarant. L'OIM se réserve le droit d'accepter ou de rejeter tout signalement de faille de sécurité ou de problème ou incident de cybersécurité à sa discrétion.
Si vous pensez avoir découvert une faille ou un problème et que vous souhaitez le signaler, nous vous demandons de nous transmettre une description détaillée du problème, y compris les mesures que nous pouvons prendre pour reproduire le problème et/ou une preuve de concept :
-
Les conclusions, y compris les coordonnées, doivent être signalés en utilisant ce formulaire.
Il convient de communiquer à l'OIM autant d'informations que possible sur la découverte afin de permettre à l'organisation de reproduire et de vérifier la faille, le problème ou l'incident et de mettre en œuvre les mesures correctives appropriées.
Une fois que vous avez soumis un signalement à l'OIM, veuillez accorder à l'équipe de sécurité de l'information un délai raisonnable pour répondre à votre signalement et corriger le problème.
Si de plus amples informations sont requises concernant un signalement, l'OIM peut contacter le déclarant ; il est donc important de fournir des coordonnées valides, notamment une adresse e-mail et/ou un numéro de téléphone.
Dès réception du signalement, l'OIM vérifiera l'existence de la faille, notifiera les parties concernées et mettra en œuvre des actions pour atténuer la faille.
Une fois la faille résolue, le déclarant recevra un accusé de réception, sauf s'il souhaite rester anonyme, et sera répertorié (à sa propre discrétion) sur cette page avec une brève description de la faille signalée. En signalant des failles à l'OIM, le déclarant accepte que ce signalement soit fait à titre gracieux et sans attente de compensation financière ou autre. Le déclarant affirme également que ni lui ni aucune entité qu'il représente n'est complice de violations des droits de l'homme, ne tolère le travail forcé ou obligatoire ou n'utilise le travail des enfants, n'est impliqué dans la vente ou la fabrication de mines antipersonnel ou de leurs composants, ou ne répond pas aux buts et principes des Nations Unies.
« Hall of Fame » de la sécurité de l'information de l'OIM
L'OIM est reconnaissante envers les personnes et organisations suivantes qui ont aidé l'Organisation à améliorer la sécurité de ses systèmes d'information, de ses données et de ses ressources de TIC en signalant des problèmes de sécurité et en découvrant des failles.
|
Déclarant |
Problème de cybersécurité |
Date |
| xveysel10 (Bug Hunter) | Site Web expiré | 24 June 2022 |
| xveysel10 (Bug Hunter) | Service non disponible - Erreur avec le sous-domaine DNS | 20 juin 2022 |
| Ammar "Em" Mu'tashim | Vulnérabilité Cross-site scripting (XSS) | 15 juin 2022 |
| Salusgard | Spring Boot Actuator exposé | 13 juin 2022 |
| xveysel10 (Bug Hunter) | Service indisponible - Échec DNS | 9 juin 2022 |
| xveysel10 (Bug Hunter) | Certificat de sécurité expiré | 9 juin 2022 |
| xveysel10 (Bug Hunter) | Erreur HTTP - Échec du chargement | 9 juin 2022 |
| Ilkin Javadov | Contournement de l'authentification | 23 mai 2022 |
| Justakazh | Divulgation d'informations PHPinfo | 17 mai 2022 |
| Veysel (Bug Hunter) | Erreur avec le sous-domaine DNS | 4 mai 2022 |
| Francesco Carlucci (OpenCIRT) | Vulnérabilité de contrôle d'accès qui pourrait exposer des données sensibles | 4 avril 2022 |
| Toby Davenport | Vulnérabilité Cross-Site Scripting (XSS) | 31 mars 2022 |
| Toby Davenport | Vulnérabilité Cross-Site Scripting (XSS) | 29 mars 2022 |
| Nayeem Islam | Vulnérabilité XML-RPC | 07 mars 2022 |
| Fabian Mucke | Informations d'identification de la base de données WordPress divulguées dans le fichier PHPInfo. | 18 février 2022 |
| Hydd3n | Vulnérabilité WordPress | 10 janvier 2022 |
| Infoziant Security | Vulnérabilités multiples de WordPress | 17 janvier 2022 |
| Guillaume Criloux | Le site web de l'OIM présente un défaut de conception et des images inappropriées sont téléchargées. | 23 décembre 2021 |
| Saeed Jaber - Abugosh | Mots de passe d’utilisateur détectés dans le Dark Web | 20 octobre 2021 |
| Gaurang Maheta | Faille OpenSSH signalée | 22 juillet 2021 |
|
Gaurang Maheta |
Faille SMB-v1 détectée |
1er juillet 2021 |
|
Gaurang Maheta |
Faille XML-RPC signalée |
13 juin 2021 |