Programme de prime à la faille détectée d’Adobe

Signalement d’une vulnérabilité

Tous les signalements sont examinés et validés par HackerOne et par les équipes de sécurité produit d’Adobe. Pour accélérer notre enquête et le versement des primes, merci de respecter les consignes suivantes :

• Indiquez des étapes claires et reproductibles lorsque vous envoyez un rapport de vulnérabilité, en incluant les informations suivantes :
  • Instructions détaillées : décrivez chaque étape nécessaire pour reproduire le problème, de la connexion (le cas échéant) au déclenchement de la vulnérabilité.
  • URL et points d’entrée spécifiques : indiquez les emplacements exacts où le problème survient, notamment les points d’entrée d’API.
  • Comportement attendu et réel : décrivez clairement ce qui est censé se produire et ce qui se passe réellement en raison de la vulnérabilité.
  • Captures d’écran et vidéos (si possible) : les preuves visuelles clarifient les étapes et l’impact.
  • Payloads et fragments de code : si vous injectez des données (XSS ou SQLi, par exemple), incluez précisément le payload utilisé.
  • Informations sur le navigateur ou l’environnement : précisez le système d’exploitation, la version du navigateur ou les outils utilisés pour reproduire le problème.
  • Prérequis nécessaires : notez les autorisations, les configurations ou les paramètres de compte requis pour déclencher la vulnérabilité.
• Fournissez une preuve de concept (de préférence une vidéo) avec une section consacrée à l’impact afin d’accélérer le processus d’examen et de validation.
• Répertoriez tous les hôtes affectés dans un seul rapport lorsque la même vulnérabilité touche plusieurs hôtes au sein de la même ressource ou du même domaine. Les primes sont attribuées par vulnérabilité unique et non par hôte impacté. En cas de rapports en double, seule la première occurrence valide sera prise en compte.
• Utilisez le chiffrement PGP pour les envois sensibles. La clé PGP est disponible ici.
• Veuillez consulter les conditions générales sur la page du programme.

Pour connaître la liste complète des critères de signalement, consultez les règles d’utilisation sur la page du programme.

Panthéon de la recherche en sécurité

Gagnez des points pour gravir les échelons du Panthéon et obtenir une reconnaissance spéciale pour vos contributions.

Qu’est-ce que le Panthéon de la recherche en sécurité ?
Cette initiative vise à distinguer les chercheurs et les chercheuses en sécurité les plus émérites, qui contribuent à renforcer la protection de nos applications, de nos services et de notre clientèle.

Nous invitons l’ensemble des chercheurs et des chercheuses en sécurité, des simples amateurs et amatrices aux pirates éthiques professionnels, à rejoindre le Panthéon en envoyant un rapport dans le cadre de notre programme de prime à la faille détectée.

Comment gagner des points ?
Des points sont attribués pour chaque contribution valide au programme de prime à la faille détectée d’Adobe. Ces points s’accumulent jusqu’à constituer un score final calculé à la fin de chaque période de test. Pour garantir l’égalité des chances, les points sont remis à zéro au début de chaque nouvelle période.

Quel est le processus de notation ?
Tout signalement valide et unique dans le cadre du programme de prime à la faille détectée d’Adobe permet d’obtenir des points pour figurer au Panthéon conformément au tableau ci-dessous. Les règles et les exclusions standards d’Adobe s’appliquent.

Quelles sont les récompenses prévues ?
À la fin de chaque période de test, les totaux de points des participantes et des participants sont calculés. Les 10 totaux les plus élevés sont alors annoncés. Outre leur figuration au Panthéon, les 10 meilleurs chercheurs et chercheuses peuvent choisir l’une des récompenses suivantes (sous réserve de modifications, avec de nouvelles récompenses à venir prochainement) :