United Airlines vulnerability disclosure program

Votre sécurité et votre confidentialité sont notre priorité. Nous suivons les meilleures pratiques et avons confiance en la sécurité de nos systèmes. Nous nous engageons à protéger la confidentialité de nos clients et les données personnelles qu’ils nous communiquent. C’est pour cette raison que nous proposons un programme de divulgation des vulnérabilités, qui est le premier programme de ce type dans le secteur de l’aviation commerciale. Nous pensons que ce programme nous permettra de renforcer notre sécurité et de continuer à vous offrir des services d’exception. Si vous pensez avoir découvert une vulnérabilité potentielle affectant nos sites Web, nos applications et/ou nos portails en ligne, veuillez nous en informer. Si les informations que vous nous soumettez remplissent nos conditions, nous serons heureux de récompenser vos efforts.

Avant de signaler une vulnérabilité en matière de sécurité, veuillez vous reporter aux « Conditions de United ». En participant au programme de divulgation des vulnérabilités, vous acceptez de respecter ces conditions ainsi que les exigences et les recommandations exposées ici.

Qu’est-ce qu’un programme de divulgation des vulnérabilités ?

Un programme de divulgation des vulnérabilités permet à des personnes indépendantes de découvrir et de signaler des problèmes de sécurité qui affectent la confidentialité, l'intégrité et/ou la disponibilité des informations liées à un client ou une entreprise, et récompense la première personne qui découvre la vulnérabilité.

Conditions

Afin que les soumissions et les gains soient équitables et pertinents, la personne signalant la vulnérabilité et la vulnérabilité doivent être admissibles conformément aux conditions du programme de divulgation de United, qui comprennent, sans toutefois s’y limiter, les exigences suivantes :

  • Toutes les vulnérabilités doivent être de nouvelles découvertes. Les miles de récompense seront uniquement accordés à la première personne qui signale une vulnérabilité spécifique.
  • La personne signalant la vulnérabilité doit être un membre MileagePlus® d’au moins 18 ans dont le compte est en règle. Si vous n’êtes pas membre, rejoignez le programme MileagePlus dès maintenant.
  • La personne qui signale la vulnérabilité ne doit pas résider dans un pays faisant l’objet de sanctions de la part des États-Unis.
  • La personne signalant la vulnérabilité ne doit pas être ou avoir été employée par United Airlines, par une compagnie aérienne membre de Star Alliance™ ou par une compagnie aérienne partenaire, un prestataire de United Airlines, ou être un membre de la famille ou du foyer d’un employé de United Airlines ou de toute autre compagnie aérienne partenaire.
  • La personne signalant la vulnérabilité ne doit pas être l’auteur du code vulnérable, ni y avoir précédemment collaboré.

Informations ciblées

United peut déterminer ponctuellement ce qui constitue une vulnérabilité admissible. Vous trouverez ci-dessous un récapitulatif de toutes les cibles pour lesquelles United examinera les signalements de vulnérabilités :

  • Le site Web commercial de United Airlines (united.com)
  • Les applications iOS et Android de United
  • Les applications iOS et Android de United MileagePlus X
    • L’application iOS de MileagePlus X peut être téléchargée sur l’App Store d’Apple.
    • L’application Android de MileagePlus X peut être téléchargée sur le Google Play Store.

Vous trouverez ci-dessous les cibles admissibles et non admissibles du programme de divulgation des vulnérabilités.

Cibles admissibles

  • *.united.com : test du site Web
  • Application iOS de United : test mobile
  • Application Android de United : test mobile
  • Application iOS de MileagePlus X : test mobile
  • Application Android de MileagePlus X : test mobile

Cibles non admissibles

United utilise de nombreux sites/services de tiers qui sont considérés comme non admissibles dans le cadre de ce programme. En outre, la liste des cibles admissibles est susceptible de changer. Les cibles suivantes sont considérées comme non admissibles :

  • Wi-Fi, systèmes de divertissement ou avionique à bord
  • E-mail d’entreprise
  • Applications/services tiers
  • Environnements non productifs
  • hotels.united.com
  • vacations.united.com
  • united.jobs
  • newsroom.united.com
  • ir.united.com
  • hub.united.com
  • jobs.united.com
  • opinions.united.com
  • globallinks.united.com
  • dutyfree.united.com
  • bigmetalbird.united.com
  • globalservices.united.com
  • uatp.united.com
  • thanksamillion.united.com
  • unitedmileageplus.com
  • secure.unitedmileageplus.com
  • newspaper-miles.com
  • *.ual.com
  • *.mileageplus.com
  • cruises.united.com
  • ualmiles.com
  • unitedshop.summitmg.com
  • united-veterans.jobs
  • clubconferencerooms.united.com/unit
  • theexplorercard.com
  • mpclubcard.com
  • myexplorercard.com
  • unitedexplorecard.com
  • unitedexplorer.com
  • unitedexplorercard.com
  • mileageplusawards.com
  • mpdining.rewardsnetwork.com
  • m.mpdining.rewardsnetwork.com
  • news.united.com/responsys
  • survey.continental.com/vovici.net
  • booking.unitedcargo.com
  • chargerback.com

Règles de participation

  • Vous devez fournir des informations détaillées concernant la découverte de la vulnérabilité, notamment les renseignements nécessaires pour reproduire la vulnérabilité, et obtenir sa validation en utilisant le formulaire de soumission.
  • Toutes les vulnérabilités doivent représenter une menace pour la sécurité afin de donner droit à une récompense. United est l’ultime responsable en ce qui concerne la détermination de la gravité d’un problème.
  • Les vulnérabilités ou les éventuelles vulnérabilités que vous découvrirez ne peuvent pas être divulguées publiquement ou à une tierce partie. Tout manquement à cette règle entraînera votre disqualification du programme de récompense.
  • Vous ne devez pas tenter de procéder à une post-exploitation, y compris à la modification ou à la destruction de données, et à une interruption ou une dégradation des services de United.
  • Vous ne devez pas tenter de réaliser des attaques par force brute, des attaques par déni de service, ni compromettre ou tester les comptes United qui ne sont pas les vôtres.
  • Vous ne devez pas procéder à un test sur un appareil ou les systèmes d’un appareil tels que les systèmes de divertissement ou le Wi-Fi à bord.
  • Vous ne devez pas tenter de cibler les employés ou clients de United en utilisant des méthodes telles que des attaques d’ingénierie sociale, des attaques par hameçonnage ou des attaques physiques.
  • Vous ne devez pas procéder à des attaques physiques à l’encontre des infrastructures aéroportuaires de United.
  • Vous ne devez pas utiliser de scanners/d’outils automatisés.

Les vulnérabilités qui peuvent faire l’objet d’une soumission :

  • Exécution de code à distance
  • Injection SQL
  • XXE
  • XSS
  • Falsification de requêtes côté serveur
  • Traversée de répertoires : inclusion de fichier local
  • Contournement d’authentification/d’autorisation (faille du contrôle d’accès)
  • Élévation des privilèges
  • Référence directe non sécurisée aux objets
  • Configuration incorrecte
  • Web cache deception
  • Configuration CORS incorrecte
  • Injection CRLF
  • Falsification de requêtes intersites
  • Open redirect
  • Divulgation d’informations
  • Dissimulation de requêtes
  • Contenu mixte

Les vulnérabilités qui ne peuvent pas faire l’objet d’une soumission :

  • Meilleures pratiques de sécurité, c’est-à-dire, en-têtes de sécurité, etc.
  • Ingénierie sociale, hameçonnage
  • Attaques physiques
  • Signalements de cookie manquant
  • CSRF avec un impact minimal, notamment connexion CSRF, déconnexion CSRF, etc.
  • Spoofing de contenu
  • Traces d’appel, divulgation du chemin, listes de répertoire
  • Meilleures pratiques SSL/TLS
  • Banner grabbing
  • Injection CSV
  • Reflected file download
  • Rapports sur des navigateurs obsolètes
  • DOS/DDOS
  • Injection dans l’en-tête de l’hôte
  • Résultats obtenus à partir d’un scanner
  • Vulnérabilités sur des produits tiers
  • Énumération d’utilisateurs
  • Complexité du mot de passe
  • Méthode HTTP Trace
  • DMARC
  • Détournement de clic
  • SPF Record
  • Anti-automatisation insuffisante
  • Attaques de la limitation de débit
  • Self-XSS

Gravité des vulnérabilités signalées

La récompense pour le signalement d’une vulnérabilité admissible peut varier en fonction de la gravité de la vulnérabilité. L’équipe de sécurité de United déterminera la gravité de la vulnérabilité après avoir examiné la soumission, en utilisant une combinaison de deux systèmes : le Common Vulnerability Scoring System (CVSS) et l’OWASP Risk Rating Methodology. Les personnes signalant des vulnérabilités recevront un paiement après validation de leur soumission.  Plusieurs soumissions peuvent être considérées comme ne formant qu’une seule vulnérabilité à la seule discrétion de United. 

Gain maximum en miles de récompense en fonction de la gravité de la vulnérabilité

Gain maximum en miles de récompense en fonction de la gravité de la vulnérabilité
Sévérité Montant maximum de miles de récompense
Critique 1 000 000 miles
Maximum 500 000 miles
Moyen 250 000 miles
Minimum 50,000 miles
Informations 0 miles

Gain maximum en miles de récompense en fonction de la gravité de la vulnérabilité

Montant maximum de miles de récompense

1 000 000 miles

Montant maximum de miles de récompense

500 000 miles

Montant maximum de miles de récompense

250 000 miles

Montant maximum de miles de récompense

50,000 miles

Montant maximum de miles de récompense

0 miles

Soumissions

Veuillez soumettre un rapport au programme de divulgation des vulnérabilités de United en confirmant que vous comprenez et acceptez la politique et les conditions générales et en utilisant le formulaire de soumission inclus ici.

  • Règlement du programme de divulgation des vulnérabilités de United Airlines

    Important : Le règlement suivant, la politique de confidentialité de United et le Règlement du programme MileagePlus constituent les règles et les autres dispositions (collectivement, le « Règlement ») du programme de divulgation des vulnérabilités de United Airlines (le « Programme »). En participant au Programme, vous indiquez que vous acceptez ce Règlement et consentez à le respecter. Il est de votre responsabilité de lire et de comprendre toutes ces Règles. Ce Règlement peut être complété par le site du Programme, mais ne peut pas être remplacé ou modifié, sauf autorisation écrite de la part de United Airlines ou l’une de ses filiales (collectivement, « United »). La dernière version en vigueur du Règlement est disponible sur le site united.com, qui détient l’autorité finale sur le Règlement. Le Règlement sur united.com est réputé remplacer toute version antérieure ou contradictoire de celui-ci.

    Conditions générales

    1. Le Programme est proposé à la discrétion de United, et United se réserve le droit de mettre fin au Programme, en tout ou en partie, ou de modifier le Règlement, les avantages, les conditions de participation, les critères d’admissibilité ou les niveaux de récompense, en tout ou en partie, à tout moment, avec ou sans préavis.
    2. United déterminera ce qui constitue une vulnérabilité (la « Vulnérabilité » ou les « Vulnérabilités ») et définira les critères et la procédure de signalement de la Vulnérabilité ainsi que les avantages qui y sont associés et pourra publier ponctuellement ces critères et cette procédure sur le site du Programme.
    3. Le Règlement régit votre participation au Programme, et ne laisse inclure ni sous-entendre aucun engagement en droit ou en justice, ceux-ci étant rejetés expressément sans exception. United se réserve le droit exclusif d’interpréter et d’appliquer le Règlement. EN AUCUN CAS UNITED NE SERA RESPONSABLE À L’ÉGARD D’UN MEMBRE, OU DE QUICONQUE AGISSANT AU NOM DU MEMBRE, QUANT AUX DOMMAGES DIRECTS, INDIRECTS OU CONSÉCUTIFS, Y COMPRIS LA PERTE DE REVENUS OU DE BÉNÉFICES, RÉSULTANT DES ACTES OU OMISSIONS DE UNITED EN LIEN AVEC LE PROGRAMME, AUX COÛTS OU AUX FRAIS D’AVOCAT. Tout abus du Programme ou manquement au respect du Règlement, toute violation d’une loi, d’une règle ou d’un règlement, toute conduite nuisible aux intérêts de United, toute activité frauduleuse ou tentative d’activité frauduleuse, toute communication d’informations visant à escroquer United, ou encore toute fausse déclaration concernant des informations fournies à United ou à ses filiales par n’importe quel Membre ou tiers agissant pour le compte du Membre (collectivement, les « Conduites interdites »), peuvent amener United à exercer un ou plusieurs des recours suivants (les « Recours de United »), avec ou sans préavis adressé au Membre : (a) la résiliation de l’adhésion de ce Membre à MileagePlus par United (y compris, mais sans s’y limiter, tout statut Premier ou Million Miler, le cas échéant), (b) le retrait ou l’annulation par United des miles cumulés, des Crédits comptabilisés pour l’accès au statut Premier, des miles à vie ainsi que des récompenses, des certificats ou des avantages en attente ou en suspens (y compris, mais sans s’y limiter, tout avantage associé au statut Premier [et/ou Million Miler], le cas échéant), (c) la confiscation de tout billet de récompense, le refus d’embarquement de tout titulaire d’un billet de récompense ou, à la discrétion de United, l’achèvement du voyage uniquement contre le paiement d’un tarif applicable (et des frais et taxes applicables), ou (d) la perte d’autres avantages du Programme et du Programme MileagePlus. Outre les Recours précédents de United, United peut, sur demande écrite, exiger du Membre qu’il rembourse la valeur, telle que définie par United, des récompenses échangées ou des certificats ou avantages obtenus, en conséquence d’une Conduite interdite et peut, en cas de non-remboursement de la part d’un Membre, engager une action en justice pour récupérer la valeur des récompenses échangées ou des certificats ou avantages obtenus par le Membre par le biais d’une Conduite interdite. Un « Membre » désigne un membre du programme United MileagePlus.
    4. Au cas où United suspecte une Conduite interdite, United se réserve le droit, avec ou sans préavis au Membre, (a) de retarder ou suspendre toute activité (y compris, et sans s’y limiter, toute activité d’échange de miles et le traitement de toute demande d’échange de miles pour toute récompense, certificat ou avantage, y compris, et sans s’y limiter, tout avantage du statut Premier (et/ou Million Miler) dans n’importe quel compte MileagePlus, et (b) contrôler ou enquêter à tout moment sur n’importe quel compte MileagePlus. Au cours d’un audit ou d’une enquête, les informations de compte d’un Membre peuvent être partagées avec tout intervenant tiers que United a engagé pour l’aider dans l’exécution d’un tel audit ou d’une telle enquête. Pendant que le compte est suspendu, le Membre peut continuer à cumuler des miles et des crédits comptabilisés pour l’accès au statut Premier sur le compte, mais aucun échange de mile ou autre transaction ne sera permise, et tout échange de récompense, certificat et avantage en suspens (y compris, et sans s’y limiter, tout avantage de statut Premier (et/ou Million Miler), le cas échéant) sera sujet une annulation ou une suspension. Les échanges de récompense, les certificats et les avantages ayant fait l’objet d’une annulation doivent être restitués à United à sa demande. À la fin de l’audit ou de l’enquête, si une Conduite interdite a été détectée par United, United peut exercer un ou plusieurs des Recours de United, ou tout autre recours disponible en droit ou en justice.
    5. Le Programme n’est ni un jeu, ni une compétition, ni un programme de fidélité.
    6. Tous les calculs effectués en relation avec le Programme, y compris, sans toutefois s’y limiter, concernant l’admissibilité et la gravité d’une Vulnérabilité et les miles de récompense associés, seront réalisés par United à sa seule discrétion et ces calculs seront considérés comme définitifs.
    7. Le Programme est ouvert aux Membres qui ont dix-huit (18) ans ou plus au moment de la soumission et qui ne sont pas résidents d’un pays faisant l’objet de sanctions de la part des États-Unis. Les employés, administrateurs et dirigeants, actuels ou anciens (ainsi que leur famille proche [conjoint, parents, enfants, frères et sœurs] et toute personne vivant sous leur toit [qu’ils aient ou non des liens familiaux avec eux]) de United Airlines, Inc, et de ses entreprises parentes, de ses filiales et de ses sous-traitants et de toute compagnie aérienne membre de Star Alliance™ ou de toute autre compagnie aérienne partenaire, les agents ou les prestataires et toute personne participant à la gestion du Programme ne sont pas admissibles.
    8. Ni la renonciation ou le consentement de United à une dérogation au Règlement ni aucune ligne de conduite ne sera interprétée comme une renonciation par United à toute violation subséquente du Règlement et United peut invoquer les Recours de United pour violation du Règlement malgré toute renonciation ou tout consentement antérieur.
    9. Pour des raisons de sécurité ou autres, les membres peuvent être tenus de fournir un mot de passe et/ou d’autres mesures de sécurité lors de certaines transactions par écrit, par téléphone ou sur Internet. Les membres sont tenus de préserver la confidentialité de leur mot de passe ou autres informations de sécurité, le cas échéant.
    10. Ni la participation au Programme ni aucun élément de ce Règlement n’implique ou ne crée de partenariat, d’association, de relation d’agence ou d’employé entre United ou ses filiales, et le Membre.
    11. Les informations qu’un Membre reçoit ou recueille à propos de United, ses filiales ou Membres, dans le cadre du Programme, que ce soit sous une forme orale, visuelle, écrite ou électronique, doivent être considérées comme confidentielles et privées (les « Informations confidentielles »). Dans le cadre du programme, les « Informations confidentielles » correspondent aux informations et/ou contenus qui ne sont en général pas accessibles au public ou dont la nature est telle qu’une personne raisonnable qualifierait ces informations et/ou contenus de « confidentiels » ou « privés ».
    12. Les informations confidentielles doivent être protégées et utilisées que dans le cadre du programme. Les Informations confidentielles ne peuvent pas être divulguées ou communiquées sans l’autorisation écrite préalable de United.
    13. Le Membre accepte de défendre, d’indemniser et d’exonérer de toute responsabilité United et ses filiales, ainsi que les administrateurs, dirigeants, employés et prestataires de United et ses filiales, pour toute réclamation ou exigence (honoraires d’avocat compris) faite ou encourue par un tiers en raison de ou découlant de la participation au Programme, du non-respect du Règlement ou de l’utilisation inappropriée du Programme.
    14. Le Programme et la remise et l’utilisation des récompenses peuvent être interdits ou limités par les lois dans certains pays en dehors des États-Unis. Aucune clause du présent Règlement ne doit être interprétée comme une annulation ou une violation de lois non américaines. United peut exercer un ou plusieurs Recours de United, avec ou sans préavis au Membre, si le Programme ou la participation d’un Membre de quelque façon que ce soit dans le Programme, viole les lois non américaines.

       

      Vulnérabilités

    15. Les Vulnérabilités ou les éventuelles Vulnérabilités que vous découvrirez ne peuvent en aucun cas être divulguées publiquement ou à une tierce partie. Tout manquement à cette règle entraînera la disqualification du Membre en ce qui concerne l’obtention des miles.
    16. Les Vulnérabilités doivent être de nouvelles découvertes, et les miles de récompense seront uniquement accordés au premier Membre qui soumet une Vulnérabilité spécifique sachant que celles-ci doivent être conformes aux spécifications ponctuellement exposées par United sur le site du Programme.
    17. Les Vulnérabilités doivent être signalées via le portail de soumission (ou par toute autre méthode indiquée ponctuellement par United), et leur signalement doit comprendre le nom légal du Membre, son numéro MileagePlus et son numéro de téléphone ainsi qu’une description détaillée de la Vulnérabilité et des éléments de preuve.
    18. La détermination de la validité et de la gravité d’une Vulnérabilité est à l’entière discrétion de United.
    19. Le Membre ne doit pas chercher sciemment ou intentionnellement à consulter ou obtenir les informations personnelles d’un client ou d’un Membre United ou de toute autre personne. Si le Membre consulte ou obtient par inadvertance les informations personnelles d’un client ou Membre de United ou de toute autre personne, le Membre doit immédiatement cesser l’activité en question, renseigner les étapes permettant de répliquer la vulnérabilité et prévenir United au plus tôt.
    20. Le Membre signalant la Vulnérabilité ne doit pas être l’auteur du code vulnérable.
    21. Un Membre ne doit en aucun cas :
      • tenter de procéder à une post exploitation, y compris à la modification ou à la destruction de données, et à une interruption ou à une dégradation des services de United ;
      • tenter de réaliser des attaques par force brute, des attaques par déni de service, ni compromettre ou tester les comptes United qui n’appartiennent pas au Membre ;
      • procéder à un test sur un appareil ou les systèmes d’un appareil tels que les systèmes de divertissement ou le Wi-Fi à bord ;
      • tenter de cibler les employés ou clients de United, notamment via des attaques d’ingénierie sociale, des attaques par hameçonnage ou des attaques physiques ;
      • procéder à des attaques physiques à l’encontre des infrastructures aéroportuaires de United ; ou
      • utiliser des scanners/outils automatisés.

      miles de récompense

    22. Les miles de récompense ne peuvent être gagnés qu’une seule fois pour chaque Vulnérabilité admissible soumise. Toutes les Vulnérabilités doivent représenter une menace pour la sécurité afin de donner droit à des miles de récompense.
    23. Les miles de récompense accordés actuellement pour les Vulnérabilités en fonction de leur gravité peuvent être publiés ponctuellement sur le site Web du Programme. Dans certains cas, en fonction des circonstances, plusieurs soumissions d’un Membre peuvent être considérées comme ne formant qu’une seule Vulnérabilité à la seule discrétion de United.
    24. Une Vulnérabilité peut être assujettie à un nombre maximum de miles de récompense à la seule discrétion de United.
    25. United accordera des miles de récompense pour chaque Vulnérabilité admissible une fois que la Vulnérabilité aura été validée et confirmée.
    26. Aucune Vulnérabilité ne permettra de recevoir plus d’un million de miles, sauf autorisation expresse de United.
    27. Les miles de récompense offerts dans le cadre de ce programme ne sont pas des miles comptabilisés pour l’accès au statut Premier®.
    28. United se réserve le droit d’ajuster le solde du compte d’un Membre si des miles ont été crédités par erreur.

       

      Politique de confidentialité

    29. En participant au programme, les membres autorisent United à collecter, gérer, utiliser, traiter et partager leurs informations, y compris, sans s’y limiter, les noms, adresses électroniques, adresses postales, numéros de compte et autres informations, conformément à la Politique de confidentialité de United. Pour en savoir plus sur la façon dont United collecte, gère, utilise, traite et partage vos informations, consultez la Politique de confidentialité de United, disponible sur https://www.united.com/ual/en/us/fly/privacy.html. La Politique de confidentialité de United n’est qu’une déclaration de protocole administratif ; elle ne constitue pas un contrat et ne crée aucun droit contractuel ou légal. La Politique de confidentialité de United ne constitue pas, ou n’a pas pour ambition de constituer, une partie de ce Règlement.