Reward
Program
Hacktivity
[[English version below]]
Mon Espace Santé
C’est un espace numérique individuel, un Carnet de Santé Virtuel, qui s’ouvre à tous les Français dès le début de l’année 2022.
Il permet :
- De stocker ses données de santé en ligne et remplace le dossier médical partagé (DMP) ;
- De conserver et de classer tous ses documents médicaux.
Il contient en plus :
- Une messagerie sécurisée avec une adresse pour converser avec les professionnels de santé ;
- Un agenda pour ses rendez-vous médicaux et autres actes ;
- Un catalogue d’applications.
- Les données recueillies par les objets connectés à la condition que les applications utilisées soient référencées, c’est-à-dire qu’elles remplissent toutes les conditions de sécurité imposées par l’Etat Français ;
- Les profils santé de vos enfants pourront y être intégrés.
Ce site est accessible à tous et compatible avec tous les terminaux (smartphones, tablettes, ordinateurs).
La Caisse Nationale d’Assurance Maladie (CNAM) et le ministère des Solidarités et de la Santé s’engagent à assurer la protection, la confidentialité et la sécurité de toutes les données (administratives et de santé). Sa sécurité et la protection des données personnelles sont garanties par l’État Français, la CNIL, et la CNAM.
Leur hébergement est assuré en France. Parmi les fonctionnalités, certaines revêtent un aspect critique pour l’application.
Règle du programme et éligibilité
Nous pensons qu'aucune technologie n'est parfaite et qu'il est essentiel de travailler avec des chercheurs et des développeurs qualifiés dans le domaine de la sécurité pour identifier les faiblesses de notre technologie.
Afin de renforcer la confiance dans ce service, si vous pensez avoir détecté une faille de sécurité dans notre service, nous serons heureux de travailler avec vous pour résoudre le problème rapidement et faire en sorte que vous soyez équitablement récompensé pour votre découverte.
Tout type d'attaque par déni de service et déni de service distribué est strictement interdit, ainsi que toute perturbation avec les équipements de réseau et l'infrastructure de Mon Espace Santé.
Nous serons heureux de remercier toutes les personnes qui soumettent des rapports de vulnérabilités valides, nous permettant d’améliorer la sécurité du service Mon Espace Santé ; toutefois, seules les personnes qui remplissent les conditions d'admissibilité suivantes peuvent recevoir une récompense :
- Vous devez être le premier à signaler une vulnérabilité.
- La vulnérabilité doit être une vulnérabilité qualifiante (voir ci-dessous)
- Toute vulnérabilité constatée doit être signalée au plus tard 24 heures après sa découverte et exclusivement par le biais de yeswehack.com
- Vous devez envoyer une description textuelle claire du rapport ainsi que les étapes de reproduction, inclure des pièces jointes telles que des captures d'écran ou une de preuve de concept si nécessaire.
- Vous devez éviter les tests qui pourraient entraîner une dégradation ou une interruption de notre service (abstenez-vous d'utiliser des outils automatisés).
- Vous ne devez pas divulguer, manipuler ou détruire les données des utilisateurs.
- Vous ne devez pas être un ancien ou actuel employé de l'un des membres de l’équipe-projet ENS / Mon Espace Santé.
Les rapports sur les vulnérabilités sont examinés par nos analystes de la sécurité.
Notre analyse est toujours basée sur l'exploitation de la vulnérabilité dans le pire scénario.
Aucune divulgation de la vulnérabilité, y compris partielle, n'est autorisée sans l’accord explicite des gestionnaires du programme.
NOTE : les fuites de données (par exemple une liste de noms de comptes et de mots-de-passe) qui ne sont pas réalisées en exploitant une information ou une vulnérabilité présente sur le système d'information Mon Espace Santé sont exclues du périmètre de ce programme.
Changelog
14/03/2022 : De nouvelles fonctionnalités ont été ajoutées à l'application "Mon Espace Santé"
04/04/2022 : Extension du Scope de 9 url.
29/09/2022 : De nouvelles fonctionnalités ont été ajoutées à "Mon Espace Santé"
26/10/2022 : De nouvelles fonctionnalités et correctifs ont été mis en place.
06/11/2023 : Note on data leakage.
My Health Space
It is an individual digital space, a Virtual Health Notebook, which is open to all French people from the beginning of 2022.
It allows:
- To store its health data online and replaces the shared medical record (DMP).
- Keep and file all medical documents.
It also contains:
- Secure messaging with an address to converse with healthcare professionals.
- An agenda for medical appointments and other acts.
- A catalog of applications.
- The data collected by the connected objects on the condition that the applications used are referenced, that they meet all the security conditions imposed by the French State.
- Your children's health profiles can be integrated into it.
This site is accessible to all and compatible with all terminals (smartphones, tablets, computers). The Caisse Nationale d'Assurance Maladie (CNAM) and the French Ministry of Solidarity and Health are committed to ensuring the protection, confidentiality and security of all data (administrative and health). Its security and the protection of personal data are guaranteed by the French State, the CNIL, and the CNAM.
Their accommodation is provided in France. Among the features, some have a critical aspect for the application.
Program Rules & Eligibility
We believe that no technology is perfect and that it is essential to work with qualified security researchers and developers to identify weaknesses in our technology.
In order to build trust in this service, if you think you have detected a security flaw in our service, we will be happy to work with you to resolve the issue quickly and ensure that you are fairly rewarded for your discovery.
Any type of denial-of-service and distributed denial-of-service attack is strictly prohibited, as well as any disruption to The Network Equipment and Infrastructure of My Health Space.
We will be happy to thank anyone who submits valid vulnerability reports, allowing us to improve the security of the My Health Space service ; however, only people who meet the following eligibility requirements can receive a reward:
- You must be the first to report a vulnerability.
- The vulnerability must be a permissible vulnerability (see below)
- Any vulnerability found must be reported no later than 24 hours after its discovery and exclusively through yeswehack.com
- You should send a clear text description of the report as well as the reproduction steps, include attachments such as screenshots or a proof of concept if necessary.
- You should avoid testing that could lead to degradation or interruption of our service (do not use automated tools).
- You must not disclose, manipulate or destroy user data.
- You must not be a former or current employee of one of the members of the ENS / Mon Espace Santé project team.
Vulnerability reports are reviewed by our security analysts.
Our analysis is always based on exploiting the vulnerability in the worst-case scenario.
No disclosure of the vulnerability, including partial disclosure, is permitted without the explicit consent of program managers.
NOTE:
In the context of this program, we won’t reward reports of leaks or exposed credentials, except if they are identified directly on the scope of this program.
In addition to the above and in order not to encourage dark and grey economies, in particular the purchase, resale and trade of identifiers or stolen information, as well as all types of dangerous behavior (e.g. social engineering, ...), we will not accept or reward any report based on information whose source is not the result of failure on the part of our organization or one of our employees/service providers.
Changelog
03/14/2022 : Some new features have been released on "Mon Espace Santé"
04/04/2022 : Scope Extension 9 url.
09/29/2022 : New features have been released on our Apps "Mon Espace Santé" !
10/26/2022 : New features and fixes have been implemented.
11/06/2023 : Note on data leakage.
Reward
| Asset value | CVSS | CVSS | CVSS | CVSS |
|---|---|---|---|---|
| €200 | €800 | €4,000 | €8,000 | |
| €150 | €600 | €3,000 | €6,000 | |
| €100 | €400 | €2,000 | €4,000 | |
| €50 | €300 | €1,500 | €3,000 |
Scopes
| Scope | Type | Asset value | Expand rewards grid |
|---|---|---|---|
| www.monespacesante.fr | web-application | ||
Low Medium High Critical | |||
| admincms.monespacesante.fr | web-application | ||
Low Medium High Critical | |||
| adminstore.monespacesante.fr | web-application | ||
Low Medium High Critical | |||
| api.monespacesante.fr | api | ||
Low Medium High Critical | |||
| auth.monespacesante.fr | web-application | ||
Low Medium High Critical | |||
| cms.monespacesante.fr | web-application | ||
Low Medium High Critical | |||
| editeur.api.monespacesante.fr | api | ||
Low Medium High Critical | |||
| editeurs.monespacesante.fr | web-application | ||
Low Medium High Critical | |||
| knowage.monespacesante.fr | web-application | ||
Low Medium High Critical | |||
| support.monespacesante.fr | web-application | ||
Low Medium High Critical | |||
| api.editeur.preprod.monespacesante.fr | api | ||
Low Medium High Critical | |||
| api.preprod.monespacesante.fr | api | ||
Low Medium High Critical | |||
| auth.preprod.monespacesante.fr | web-application | ||
Low Medium High Critical | |||
| preprod.api.monespacesante.fr | api | ||
Low Medium High Critical | |||
| preprod.auth.monespacesante.fr | web-application | ||
Low Medium High Critical | |||
| preprod.editeur.api.monespacesante.fr | api | ||
Low Medium High Critical | |||
| preprod.monespacesante.fr | web-application | ||
Low Medium High Critical | |||
| preprod1.monespacesante.fr | web-application | ||
Low Medium High Critical | |||
| preprod2.monespacesante.fr | web-application | ||
Low Medium High Critical | |||
| securite.monespacesante.fr | web-application | ||
Low Medium High Critical | |||
| am.monespacesante.fr | mobile-application | ||
Low Medium High Critical | |||
| editeur.am.monespacesante.fr | mobile-application | ||
Low Medium High Critical | |||
| am.editeur.preprod.monespacesante.fr | mobile-application | ||
Low Medium High Critical | |||
| am.preprod.monespacesante.fr | mobile-application | ||
Low Medium High Critical | |||
| preprod.am.monespacesante.fr | mobile-application | ||
Low Medium High Critical | |||
| preprod.editeur.am.monespacesante.fr | mobile-application | ||
Low Medium High Critical | |||
| www.preprod.monespacesante.fr | web-application | ||
Low Medium High Critical | |||
| www.preprod1.monespacesante.fr | web-application | ||
Low Medium High Critical | |||
| www.preprod2.monespacesante.fr | web-application | ||
Low Medium High Critical | |||
| www.am.monespacesante.fr | mobile-application | ||
Low Medium High Critical | |||
| www.editeur.am.monespacesante.fr | mobile-application | ||
Low Medium High Critical | |||
| www.editeur.api.monespacesante.fr | api | ||
Low Medium High Critical | |||
| apps.apple.com/fr/app/mon-espace-sant%C3%A9/id1589255019 (iOS) | mobile-application-ios | ||
Low Medium High Critical | |||
| play.google.com/store/apps/details?id=fr.assurancemaladie.monespacesante&showAllReviews=true (Android) | mobile-application-android | ||
Low Medium High Critical | |||
Out of scopes
- Anything that is not explicitely listed as part of the Scope
Vulnerability types
Qualifying vulnerabilities
- Remote code execution (RCE)
- Local files access and manipulation (LFI, RFI, XXE, SSRF, XSPA)
- Code injections (HTML, JS, SQL, PHP, ...)
- Cross-Site Scripting (XSS)
- Cross-Site Requests Forgery (CSRF) with real security impact
- Open redirect
- Broken authentication & session management
- Insecure direct object references
- CORS with real security impact
- Horizontal and vertical privilege escalation
Non-qualifying vulnerabilities
- Stolen secrets, credentials or information gathered from a third-party asset that we have no control over .
- Exposed secrets, credentials or information on an asset that is out of the program’s scope.
- - CONCERNING Web App
- Missing cookie flags
- SSL/TLS best practices
- Mixed content warnings
- Denial of Service attacks
- Clickjacking/UI redressing
- Physical or social engineering attempts
- Recently disclosed 0-day vulnerabilities
- Presence of autocomplete attribute on web forms
- Missing security-related HTTP headers which do not lead directly to a vulnerability
- Reports from automated web vulnerability scanners (Acunetix, Vega, etc.) that have not been validated
- Invalid or missing SPF (Sender Policy Framework) records (Incomplete or missing SPF/DKIM/DMARC)
- - CONCERNING Mobile App
- Task Hijacking
- Crashing your own application
- Google API Keys (eg. Analytics, Maps)
- Lack of code obfuscation / binary protection
- Exploiting a generic Android or iOS vulnerability
- Exploits that are only possible on rooted/jailbroken device
- Exploits that are only possible on iOS version 13.X and below
- Exploits that are only possible on Android version 8.0 and below
- Lack of encryption on internal databases/preference files on mobile device
- Vulnerabilities affecting outdated application binaries - only exploits working on latest Android/iOS versions from the respective app stores will be accepted
- Lack of client-side protections on mobile binaries: SSL pinning/binary protection/code obfuscation/jailbreak detection/root detection/anti-debugging controls/ etc.
Hunters collaboration
When submitting new report, you can add up to 5 collaborators, and define the reward split ratio.
For more information, see help center.
Note: For reports that have already been rewarded, it is not possible to redistribute the rewards.
