Programme anti-bug de United Airlines

Votre sécurité et votre confidentialité sont notre priorité. Nous suivons les meilleures pratiques et avons confiance en la sécurité de nos systèmes. Nous nous engageons à protéger votre confidentialité et vos données personnelles. C’est pour cette raison que nous vous proposons un programme anti-bug — le premier programme de ce type dans le secteur de l’aviation commerciale. Nous pensons que ce programme nous permettra de renforcer notre sécurité et de continuer à vous offrir des services d’exception. Si vous pensez avoir découvert un bug sur nos sites, applications et/ou portails en ligne, merci de nous en informer. Si les informations que vous nous soumettez remplissent nos conditions, nous serons heureux de récompenser vos efforts.

Avant de signaler un bug de sécurité, veuillez vous reporter aux « Conditions générales de United ». En participant à notre programme anti-bug, vous acceptez de respecter ces conditions.

En quoi consiste ce programme anti-bug ?

Un programme anti-bug permet à des personnes indépendantes de découvrir et de signaler des bugs de sécurité qui affectent la confidentialité, l’intégrité et/ou la disponibilité d’informations liées à un utilisateur ou une entreprise, et récompense le premier membre à découvrir le bug.

Conditions

Pour garantir la pertinence et l’impartialité des signalements et des récompenses, toutes les personnes signalant des bugs doivent respecter les conditions et recommandations suivantes :

  • Les bugs doivent être découverts pour la première fois. Les miles de récompense ne seront remis qu’à la première personne qui signale un bug particulier affectant la sécurité.
  • La personne signalant le bug doit être un adhérent MileagePlus dont le compte est en règle. Si vous n’êtes pas adhérent, rejoignez le programme MileagePlus dès maintenant.
  • La personne qui signale le bug ne doit pas résider dans un pays soumis à des sanctions américaines.
  • La personne signalant le bug ne doit pas être ou avoir été employée par United Airlines, par toute autre compagnie aérienne membre de Star Alliance™ ou par une compagnie partenaire, ou être un membre de la famille ou du foyer d’un employé de United Airlines ou toute autre compagnie aérienne partenaire.
  • La personne signalant le bug ne doit pas être l’auteur du code vulnérable.

Liste des bugs pouvant être signalés :

  • Authentication bypass
  • Bugs on United-operated, customer-facing applications such as:
    • united.com
    • mobile.united.com
    • mystatus.united.com
    • smartphone.continental.com
    • wechat.united.com
  • Bugs on the United app
  • Bugs in third-party assets loaded by United-operated, customer-facing applications
  • Cross-site request forgery
  • Cross-site scripting (XSS)
  • Potential for information disclosure
  • Remote code execution
  • Timing attacks that prove the existence of a private repository, user or reservation
  • The ability to enumerate reservations, MileagePlus numbers, PINs or passwords (Note: Please do not attempt brute-force attacks on our systems. Report the potential bug and we will verify its validity.)

Liste des bugs non admis :

  • Bugs that only affect legacy or unsupported browsers, plugins or operating systems
  • Bugs on internal sites for United employees or agents (not customer-facing)
  • Bugs on applications that are not operated by United, such as:
    • cruises.united.com
    • hotels.united.com
    • hub.united.com
    • unitedmileageplus.com
    • vacations.united.com
  • Bugs on onboard Wi-Fi, entertainment systems or avionics
  • Insecure cookie settings for non-sensitive cookies
  • Previously submitted bugs
  • Self-cross-site scripting
  • Vulnerabilities that apply only to you or your own account
  • Web server banner disclosure issues

Attention :

Si vous entreprenez l’une des actions suivantes, vous serez disqualifié de façon permanente du programme anti-bug et pourrez faire l’objet de poursuites en justice. Nous n’autorisons aucune action qui pourrait affecter négativement l’expérience de navigation sur nos sites, applications ou portails en ligne des clients United.

  • Attaques par force brute
  • Injection de code dans des systèmes actifs
  • Perturbation ou attaques par déni de service
  • La mise en péril ou des tests de comptes MileagePlus qui ne vous appartiennent pas
  • Tout test sur un appareil ou les systèmes d’un appareil comme les systèmes multimédias ou le Wi-Fi à bord
  • Toute menace, tentative de corruption ou d’extorsion envers un employé de United Airlines, toute autre compagnie aérienne membre de Star Alliance, une compagnie partenaire ou un client
  • Toute attaque physique d’un employé de United Airlines, de toute autre compagnie aérienne membre de Star Alliance, d’une compagnie partenaire ou d’un client
  • Les vérifications de vulnérabilité ou automatiques sur les serveurs United (notamment par des vérifications à l’aide d’outils tels qu’Acunetix, Core Impact ou Nessus)

Bounties

If you have discovered a security bug that meets the requirements, and you're the first eligible researcher to report it, we will gladly reward you for your efforts. Below is our bounty payout structure, which is based on the severity and impact of bugs.

Système de récompense du programme anti-bug
Sévérité Exemples Montant maximum de miles de récompense
Maximum
  • Exécution de code à distance
1,000,000
Moyen
  • Contournement d’accès
  • Attaques par force brute
  • Risque de divulgation d’informations personnelles
  • Attaques temporelles
250 000
Minimum
  • Cross-site scripting
  • Contrefaçon de requêtes intersites
  • Les bugs de sécurité de tiers affectant United
50 000

Système de récompense du programme anti-bug

  • Exemples

    • Exécution de code à distance
  • Montant maximum de miles de récompense

    1,000,000

  • Exemples

    • Contournement d’accès
    • Attaques par force brute
    • Risque de divulgation d’informations personnelles
    • Attaques temporelles
  • Montant maximum de miles de récompense

    250 000

  • Exemples

    • Cross-site scripting
    • Contrefaçon de requêtes intersites
    • Les bugs de sécurité de tiers affectant United
  • Montant maximum de miles de récompense

    50 000

Soumissions

Si vous pensez avoir découvert un bug de sécurité qui remplit les conditions ci-dessus, nous serons ravis de collaborer avec vous pour le résoudre.

  • Merci de nous écrire à bugbounty@united.com et d’indiquer « Soumission de bug » dans l’objet de votre e-mail.
  • Dans le corps de l’e-mail, décrivez la nature du bug, ainsi que toutes les étapes nécessaires pour le reproduire et toute application, programme ou outil utilisé pour découvrir le bug et la date et l’heure à laquelle le test a été effectué.
  • Indiquez vos nom, numéro MileagePlus, numéro de téléphone et adresse IP au moment où vous avez effectué le test lorsque vous envoyez votre signalement.
  • Les rapports détaillés accompagnés de captures d’écran sont tout particulièrement appréciés.

N’hésitez pas à nous contacter à l’adresse bugbounty@united.com pour toute question à propos du programme anti-bug. Nous recevons de nombreux signalements dans le cadre de ce programme et nous ne serons peut-être pas en mesure de répondre à votre e-mail immédiatement, mais nous y répondrons dès que possible. Nous attendons de vos nouvelles avec impatience.

    • Votre participation au programme est soumise aux présentes dispositions. Il est de votre responsabilité de les lire et de les comprendre dans leur intégralité. Le programme est proposé à la discrétion de United Airlines et de ses sociétés affiliées. United se réserve le droit de mettre fin au Programme ou de modifier le Règlement du Programme, ses réglementations, ses avantages, ses conditions de participation en tout ou partie, à tout moment, avec ou sans préavis (« Règlement du programme »). Le Règlement du programme complète les Conditions générales et mentions légales de united.com, la Politique de confidentialité United et le Règlement du programme MileagePlus (qui constituent, avec le Règlement du programme, les « Conditions générales United »).
    • En participant au programme, vous acceptez de respecter les Conditions générales United.
    • Le programme n’est ni un jeu ni un concours ; il s’agit d’une expérience et d’un programme de récompense à notre discrétion. Cette offre est valable pour les bugs soumis à compter du 11 mai 2015. Nous pourrons annuler le programme à tout moment et la décision d’offrir les miles de récompense est à la seule discrétion de United.
    • L’offre du programme anti-bug United n’est disponible que pour les adhérents MileagePlus, âgés de 14 ans ou plus au moment de la participation. Cette offre est soumise à la législation en vigueur et nulle si la loi l’interdit. Les employés, administrateurs et dirigeants, actuels ou anciens (ainsi que leur famille proche [parents, enfants, frères et sœurs, époux] et toute personne vivant sous leur toit [ayant des liens familiaux ou non]) de United Airlines, Inc, et de leurs entreprises parentes, de leurs filiales, de leurs sous-traitants, et de toute personne participant à la gestion du programme anti-bug ne peuvent participer au programme.
    • Les bugs doivent être signalés à bugbounty@united.com et doivent comprendre les nom, numéro de compte MileagePlus et un numéro de téléphone, ainsi qu’une description détaillée du bug et des preuves justificatives.
    • Les bugs doivent être découverts pour la première fois. Les miles de récompense ne seront remis qu’à la première personne signalant un bug particulier.
    • Dans le cadre d’une divulgation d’informations personnelles qui ne provient pas de votre compte-test, veuillez cesser toute activité ayant entraîné cette divulgation et nous informer au plus vite des étapes ayant rendu cette divulgation possible.
    • La personne signalant le bug ne doit pas être l’auteur du code vulnérable.
    • Aucun bug ou bug potentiel que vous découvrirez ne peut être partagé publiquement ou auprès d’un tiers. Tout manquement à cette règle entraînera votre disqualification du programme de récompense.
    • Vous ne devez pas chercher à accéder aux informations personnelles d’un client ou adhérent United. S’il est prouvé que vous avez cherché à accéder aux informations personnelles d’un client ou adhérent United, vous serez immédiatement disqualifié du programme. Si vous accédez aux informations personnelles d’un client ou adhérent United par accident, veuillez cesser immédiatement toute activité.
    • Les miles de récompense peuvent être gagnés une fois par bug signalé répondant aux critères applicables. Vous pouvez gagner des miles de récompense bonus un nombre de fois illimité, conformément à ces conditions générales.
    • Veuillez noter que les gains de miles sont soumis aux taxes de votre pays de résidence ou de nationalité au taux de 2 % par mile ajouté à vos gains annuels. Vous êtes responsable des taxes éventuelles. Si vous préférez faire un don de vos miles, faites-le nous savoir.
    • United vous remettra une récompense pour tout bug répondant aux critères une fois qu’il aura été résolu. Nous espérons résoudre les bugs répondant aux critères dans les 90 jours suivant leur confirmation.
    • Ni votre participation au programme ni aucun élément des Conditions générales United n’impliquent ou ne créent de partenariat, d’association, de relation d’agence ou d’employé entre United ou ses filiales, et vous.
    • Les informations reçues ou collectées à propos de United, ses filiales ou adhérents, dans le cadre du programme, que ce soit sous une forme visuelle, écrite ou électronique, peuvent être considérées comme confidentielles et privées (« Informations confidentielles »). Dans le cadre du programme, les « Informations confidentielles » correspondent aux informations et/ou contenus qui ne sont en général pas accessibles au public ou dont la nature est telle qu’une personne raisonnable qualifierait ces informations et/ou contenus de « confidentiels » ou « privés ».
    • Les informations confidentielles doivent être protégées et utilisées que dans le cadre du programme. Vous ne pouvez pas utiliser, dévoiler ou partager ces informations confidentielles sans l’autorisation écrite préalable de United.
    • Vous acceptez de défendre, d’indemniser et d’exonérer de toute responsabilité United et ses filiales, ainsi que les administrateurs, dirigeants, employés et agents de United et ses filiales, de toute réclamation ou exigence (honoraires d’avocat compris) faite ou encourue par un tiers dans le cadre de la participation au Programme, du non-respect des Conditions United ou la mauvaise utilisation du programme.
    • Les miles de récompense offerts dans le cadre de ce programme ne sont pas des miles comptabilisés pour l’accès au statut Premier®.
    • Offre susceptible d’être modifiée sans préavis. D’autres restrictions peuvent s’appliquer.
    • Les miles cumulés, les récompenses et les privilèges émis sont susceptibles d’être modifiés et sont soumis aux règles du programme United MileagePlus, y compris, sans s’y limiter, du programme Premier® (le « Programme MileagePlus »), qui y sont expressément incorporés. United peut modifier le programme MileagePlus, notamment, sans s’y limiter, les règles, les réglementations, les voyages récompenses et les offres spéciales ou mettre fin au programme MileagePlus à tout moment et sans préavis. United, ses succursales, ses filiales et son personnel ne sont pas responsables des produits et des services proposés par leurs partenaires ou les autres entreprises participantes. Les taxes et frais relatifs aux voyages récompense sont à la charge de l’adhérent. Sauf indication contraire, les miles de récompense bonus, les miles de récompense et tous autres miles acquis dans le cadre d’activités non liées à des vols, ne sont pas comptabilisés pour l’accès au statut Premier. Le cumul de miles ou le statut Premier ou autre ne confère aux adhérents aucun droit sur le programme MileagePlus. Tous les calculs effectués en rapport avec le programme United MileagePlus ou le programme Premier, y compris, sans s’y limiter, ceux ayant trait au cumul de miles et à la satisfaction des critères d’accès au programme Premier, ou encore les révisions de ces calculs (y compris toute estimation), sont effectués par United Airlines et MileagePlus à leur discrétion et sont considérés comme définitifs. Les informations contenues dans cette communication ayant trait au Programme MileagePlus ne prétendent pas être complètes ni exhaustives et peuvent ne pas inclure toutes les informations semblant importantes à un adhérent. De plus, elles sont qualifiées dans leur intégralité par référence à toutes les informations présentes sur le site Web united.com et dans le règlement MileagePlus. United et MileagePlus sont des marques de service déposées. Pour obtenir tous les détails du programme MileagePlus, consultez le site united.com/mileageplus