ébewè développe pour vous votre site internet.
Site vitrine, boutique en ligne PrestaShop, blog Wordpress.

Politique de sécurité

Depuis la création d'ébewè en 2011, tous mes développements ont été faits dans le respect des règles de codage et de sécurité afin de garantir à mes clients un code propre, efficace et sûr.

C'est pourquoi il me paraît évident aujourd'hui de renforcer encore la sécurisation de mes modules PrestaShop en rejoignant le programme mis en place par la société TouchWeb: La Charte pour une cybersecurite responsable

Signalement d'une vulnérabilité

La sécurité de mes modules et de mes clients est primordiale. C'est pourquoi j'encourage les chercheurs en sécurité à mener des analyses sur mes modules et à me signaler toute vulnérabilité identifiée, dans le respect des bonnes pratiques de divulgation responsable.

Je m'engage à identifier et corriger toute vulnérabilité, et à communiquer de manière transparente avec les parties concernées tout au long du processus.

Si vous pensez avoir découvert une vulnérabilité dans l'un de mes modules, vous pouvez me la signaler de manière responsable via l'adresse : contact@ebewe.net

Je vous invite à me fournir le plus de détails possible (description, impact, version concernée, étapes de reproduction).

Je vous informe également que les découvertes non reproductibles ou n'étant pas directement liées à mes modules seront ignorées.

Notre politique de gestion des vulnérabilités

Conformément à la Charte TouchWeb pour une cybersecurite responsable, notre équipe applique les principes suivants :

  • Accusé de réception de tout signalement pertinent sous 7 jours maximum. (CVSS ≥ 6.5)
  • Analyse d'impact et planification d'un correctif sous 30 jours maximum.
  • Publication d'un avis de sécurité avec CVE si le score CVSS est ≥ 7.5.
  • Aucune correction ne sera publiée de manière silencieuse.

En parallèle, je prends les engagements suivants pour garantir une gestion responsable et éthique des vulnérabilités :

  • Ne pas poursuivre les chercheurs agissant de bonne foi, notamment dans le cadre du programme YesWeHack géré par TouchWeb SAS.
  • Garantir qu'aucun accord de confidentialité, y compris en marque blanche, ne puisse entraver la publication transparente d'un avis de sécurité avec identifiant CVE, dans le respect de l'état de l'Art.

J'ai bien conscience que cette transparence est essentielle pour permettre aux tiers concernés (agences, marchands, etc.) de satisfaire à leurs obligations de conformité, notamment dans le cadre du standard PCI-DSS ou de l'une de ses versions allégées, comme la SAQ-A.

Autorisation de publication

J'autorise expressément la société TouchWeb SAS à publier les informations relatives aux vulnérabilités corrigées de mes modules sur son site officiel, conformément aux engagements de la Charte de cybersécurité responsable.

Cette publication comprend :

  • Un identifiant CVE associé à la vulnérabilité.
  • Une note de sécurité décrivant clairement le problème et sa résolution.
  • Les versions concernées et la version corrigée.
  • Un correctif facile à déployer lorsque la mise à jour n'est pas possible.
  • Toute information utile permettant aux utilisateurs et agences de se protéger rapidement.

Badge cybersécurité responsable TouchWeb

Publication

Date Module Version CWE CVSS CVE
Impactée Corrigée
2023-06-01 Module City Autocomplete <= 1.8.11 (PrestaShop 1.5/1.6)
<= 2.0.2 (PrestaShop 1.7/8)		 1.8.12 (PrestaShop 1.5/1.6)
2.0.3 (PrestaShop 1.7/8)		 CWE-89 9.8 CVE-2023-30149