Accueil / Rapport Bug Bounty

Rapport Bug Bounty

Rapport Bug Bounty

Bentley s'engage à assurer la sécurité des données de ses utilisateurs et à faire preuve de transparence dans ce domaine. Nos normes et certifications solides en matière de confidentialité et de protection des données, de sécurité et de conformité en témoignent.

Déposer un rapport

Lignes directrices du programme de divulgation responsable de Bentley Systems

At Bentley Systems, we take the security of our systems and products seriously, and we value the security community. The disclosure of security vulnerabilities helps us ensure the security and privacy of our users. 

1. Recommandations génériques

Bentley Systems exige que tous les chercheurs

  • évitent les violations de la vie privée, la dégradation de l'expérience utilisateur, l'interruption des systèmes de production et la destruction des données lors des tests de sécurité ;
  • effectuent des recherches uniquement dans le cadre du champ d'application défini ci-dessous ;
  • utilisent les canaux de communication définis ci-dessous pour nous communiquer des informations sur les vulnérabilités.
  • gardent les informations sur les vulnérabilités que vous avez découvertes confidentielles entre vous et Bentley Systems jusqu'à ce qu'elles soient corrigées.
Si vous suivez ces recommandations lorsque vous nous signalez un problème, nous nous engageons à
 
  • ne pas intenter ou soutenir une action en justice liée à votre recherche ;
  • travailler avec vous pour comprendre et résoudre rapidement le problème.

2. Code de conduite et responsabilités juridiques

Lorsque nous effectuons des recherches sur la vulnérabilité conformément à cette politique, nous considérons que ces recherches sont

  • Authorized in accordance with the Computer Fraud and Abuse Act (CFAA) (or similar state laws), and we will not initiate or support legal action against you for accidental, good-faith violations of this policy.
  • exemptes du Digital Millennium Copyright Act (DMCA), et nous ne porterons pas plainte contre vous pour contournement des contrôles technologiques ;
  • Exempt from restrictions in our Terms & Conditions that would interfere with conducting security research, and we waive those restrictions on a limited basis for work done under this policy.
  • légales, utiles à la sécurité générale de l'Internet et menées de bonne foi.

Comme toujours, vous êtes tenu(e) de respecter toutes les lois applicables. Si, à un moment ou à un autre, vous avez des inquiétudes ou des doutes quant à la conformité de votre recherche en matière de sécurité avec la présente politique, veuillez soumettre un rapport par l'intermédiaire de l'un de nos canaux de communication définis ci-dessous avant d'aller plus loin.

3. Champ d'application/Hors champ d'application

Champ d'applicationHors champ d'application
  • Tous les sous-domaines de _.bentley.com
  • Tous les produits de bureau de Bentley Systems (uniquement CONNECT Edition et versions ultérieures)
  • All Bentley Systems mobile apps (distributed only on Play and App stores)
  • Toutes les applications et tous les services de cloud de Bentley
  • All Bentley Open-Source Projects (including imodeljs.org)

4. Vulnérabilités éligibles/Exclusions

Vulnérabilités éligiblesExclusions
    • Exécution de code à distance
    • DLL hijacking
    • Injection SQL
    • Cross-Site Scripting (XSS)
    • Identification et authentification
    • Référence d'objet directe non sécurisée (IDOR)
    • Cross-Site Request Forgery (CSRF)
    • Directory Traversal
    • Exposition de données sensibles
    • Mauvaise configuration de la session
    • Broken Access control (Privilege Escalation)
    • Mauvaise configuration de la sécurité
    • Cross-Origin resource sharing (CORS)
    • Redirection ouverte
    • Problèmes relatifs à la logique d'entreprise
    • Hyperlink injection (if obfuscation is possible)
    • Problèmes liés à Word-press
    • Subdomain take over only after you see that subdomain is dangling at least for 1h. and provide screenshots. Actual takeover of reported subdomain as PoC is forbidden. 
  • DoS, and application-level DoS (unless the response is asymmetrical compared to the initial request)
  • Les bogues de logiciels Internet rendus publics dans les 15 jours suivant leur divulgation
  • Self-XSS (nous demandons des preuves sur la façon dont le XSS peut être utilisé pour attaquer un autre utilisateur)
  • CSRF without any security impact (e.g. Logout CSRF)
  • Attaque en lien avec X-Frame-Option (clickjacking)
  • Injection d'en-tête (à moins que vous ne puissiez montrer comment ils peuvent conduire au vol de données utilisateur)
  • Problèmes non exploitables mais entraînant des plantages, des traces d'appels, des fuites d'informations similaires ou des problèmes de stabilité.
  • Exposition de la version (à moins que vous ne fournissiez une démonstration de la faisabilité d'une exploitation qui fonctionne).
  • Tout ce qui nécessite des navigateurs, des plates-formes ou de la cryptographie obsolètes (par ex. TLS BEAST, POODLE, etc.)
  • Les techniques de spam ou d'ingénierie sociale, y compris les problèmes liés à SPF et DKIM
  • Rate limit vulnerability not on a login functionality (unless a valid exploit PoC provided)
  • Le fichier XMLRPC.php est activé, ce qui peut mener à des attaques DoS
  • Indicateurs de cookies manquants pour les cookies non sensibles
  • En-têtes de sécurité manquants qui ne mènent pas directement à une vulnérabilité (à moins que vous ne fournissiez une démonstration de la faisabilité)
  • Anything from an automated scan
  • Anything that is public by default (e.g. public keys, config files without sensitive information, etc.)
  • Anything not under Bentley Systems control (e.g. Google Analytics, etc.)
  • Des questions théoriques qui n'ont pas de portée pratique
  • Bugs et fautes d'orthographe de l'interface utilisateur et de l'interface graphique
  • Credentials found at breach forums like [https://breachforums.st, https://phonebook.cz] etc.
  • CAA certificate missing
  • User enumeration in WP, when only a few Bentley employees, who posted on the website, are exposed
  • Origin IP exposure
  • Misconfigurations on non-resolving URLs
  • AppInsights key exposure
  • LaunchDarkly key exposure
  • BingMap key exposure

5. Comment faire un rapport

Si vous pensez avoir trouvé une faille de sécurité dans l'un de nos produits ou l'une de nos plateformes, veuillez remplir le formulaire sur cette page. 

A good practice is to think whether the discovered vulnerability puts at risk:

  • Bentley Systems clients’ information.
  • Bentley Systems software.
  • Bentley Systems reputation.

Assurez-vous d'avoir inclus les informations suivantes :

  • Description détaillée de la vulnérabilité contenant des informations telles que l'URL, la requête/réponse HTTP complète et le type de vulnérabilité.
  • Information necessary to reproduce the issue.
  • Proof of concept including practical severity and attack scenario, indication of a potential risk only is hard to evaluate and usually such report is not approved.
  • If applicable, a screenshot and/or video of the vulnerability.
  • Coordonnées, nom, e-mail, numéro de téléphone, lieu. Les candidatures ne comportant pas ces informations ne seront pas prises en considération.
  • IMPORTANT NOTE. You may only make the initial submission through the form. If you have any questions not mentioned in a form, please e-mail us at security@bentley.com.

6. Règles d'engagement

  • Le déni de service est strictement interdit.
  • Toute forme d'attaque par force brute des identifiants est strictement interdite.
  • Il est interdit d'informer le public d'une vulnérabilité signalée avant qu'elle n'ait été corrigée.
  • Vous ne pouvez pas détruire ou dégrader nos performances ni violer la protection de la vie privée ou l'intégrité de nos utilisateurs et de leurs données.
  • L'exploitation des vulnérabilités (autre qu'une démonstration de la faisabilité générique) est strictement interdite et fera l'objet de poursuites conformément à la législation applicable.
  • Si une vulnérabilité permet un accès involontaire aux données, vous devez
    • limiter la quantité de données auxquelles vous avez accès au minimum requis pour faire efficacement la démonstration de la faisabilité ; et
    • cesser les essais ; et
    • soumettre immédiatement un rapport si vous rencontrez des données d'utilisateur pendant les tests, telles que des informations personnelles identifiables, des informations personnelles sur la santé, des données de carte de crédit ou des informations propriétaires.
  • Bentley ne répondra pas à l'extorsion ou à d'autres actes criminels coercitifs (par ex. les demandes de paiement anticipé en échange de la non-exploitation d'une vulnérabilité découverte.

7. Divulgation publique

À moins que notre équipe vous informe que la vulnérabilité a été résolue, veuillez ne pas divulguer publiquement la vulnérabilité pendant 90 jours. Le non-respect de cette obligation entraînera des poursuites judiciaires.

8. Doublons

  • Only the first researcher to report an issue will be entitled for a reward.
  • The reports of the same issue in different environments are not rewarded and closed as duplicates. (e.g. dev-*-bentley.com, qa- dev-*-bentley.com, prod- dev-*-bentley.com) 
  • The reports of the same issue in different deployment regions are not rewarded and closed as duplicates. (e.g. *.us.bentley.com, *.eus-bentley.com, *.in.-*-bentley.com)
  • Multiple instances of the same issue will only be compensated to a max of 3x the reward sum. (e.g. expires SSL certificate on 25 domain and subdomains will count 3×100 USD, and not 25×100 USD)

9. Triage des vulnérabilités

Une fois votre demande reçue :
  • La vulnérabilité signalée sera analysée.
  • You will be informed if the issue is closed without a reward. We do not send a detailed explanation of the resolution.
  • If we determine the submission is valid and meets the requirements of this policy, you may receive a reward after the fix is implemented. Our commitment is to reward your efforts within 90 days.

10. Compensation

The compensation for a security report submitted by a third-party researcher is determined based on the level of risk posed by the identified vulnerability. This means that the reward can vary significantly [or be denied], depending on the potential impact and severity of the issue. While there may be a general range of compensation provided for reference, it is important to understand that each case is evaluated individually. 

To further encourage security researchers and acknowledge your valuable contributions, Bentley Systems has decided to double the rewards for eligible security reports in Q4. This initiative aims to foster greater engagement and incentivize the discovery of critical vulnerabilities, ensuring the continued safety and reliability of Bentley’s products and services.

All reports received in Q4 2025 will be doubled.

Exemples de vulnérabilité Fourchette de prix (USD)** 2025 Q4 Price Range (USD)**
Broken Access control (Privilege Escalation) 250-450 500-900
Problèmes relatifs à la logique d'entreprise 100-300 200-500
Cross-Origin Resource Sharing (CORS) 100-200 200-400
Cross-Site Request Forgery (CSRF) 150-250 300-500
Cross-Site Scripting (XSS) 100-200 200-400
DLL hijacking 50 100
Injection dans un lien hypertexte 50 100
Identification et authentification 250-450 500-900
Insecure Direct Object Reference (IDOR) 250-450 500-900
Redirection ouverte 50-150 200-300
Autre 0-500 100-600
Exécution de code à distance 600 1200
Mauvaise configuration de la sécurité 50-250 100-500
Exposition de données sensibles 50-200 100-400
Secrets leak 200-500 400-1000
Mauvaise configuration de la session 50-200 100-400
Injection SQL 250-500 500-1000
NOTE. A report will not be eligible for a financial reward (even if Bentley Systems accepts and addresses it) in some situations including, but not limited to, the following:
  • report was submitted by current of former employee of Bentley Systems
  • report was submitted by the commercial entities or individuals conducting formal/commercial security testing on behalf of Bentley Systems customers.
  • report was submitted by the employee or subcontractors of a company that is a customer of Bentley Systems services.
  • report was submitted by the employee of the company that is a Bentley System’s service provider.
  • report was submitted by an individual residing in a country that is currently subject to international sanctions.
  • Bentley System’s legal department fails to associate researcher’s PayPal email address and the identity; meaning that you cannot get the reward to somebody’s else account.
**Notez que les instances multiples du même problème ne seront indemnisées qu'à hauteur de 3x le prix.
**Reports for an issue in different environments of the product (dev-, qa-, prod-) will be counted as one. We reserve the right to change this policy at any time and for any reason and cannot guarantee compensation for all reports. Compensation is only provided through PayPal.  IMPORTANT. Please make sure to send only a valid PayPal address: we will be unable to consider addresses other than the original for payment. If the transaction fails for any reason (i.e. PayPal refuses the transaction; receiving bank cannot accept payment; max amount limit is reached, acceptance of payments only through the website or other instructions, etc.), the payment will be cancelled and will not be resubmitted. Bentley Systems reserves the right to withdraw the Responsible Disclosure Program and its compensation system at any time without prior notice.

Déposer un rapport

Table des matières

Bentley Systems exige que tous les chercheurs

  • évitent les violations de la vie privée, la dégradation de l'expérience utilisateur, l'interruption des systèmes de production et la destruction des données lors des tests de sécurité ;
  • effectuent des recherches uniquement dans le cadre du champ d'application défini ci-dessous ;
  • utilisent les canaux de communication définis ci-dessous pour nous communiquer des informations sur les vulnérabilités.
  • gardent les informations sur les vulnérabilités que vous avez découvertes confidentielles entre vous et Bentley Systems jusqu'à ce qu'elles soient corrigées.
Si vous suivez ces recommandations lorsque vous nous signalez un problème, nous nous engageons à
 
  • ne pas intenter ou soutenir une action en justice liée à votre recherche ;
  • travailler avec vous pour comprendre et résoudre rapidement le problème.

Lorsque nous effectuons des recherches sur la vulnérabilité conformément à cette politique, nous considérons que ces recherches sont

  • autorisées conformément au Computer Fraud and Abuse Act (CFAA) (ou des lois nationales similaires), et nous n'engagerons ni ne soutiendrons aucune action en justice à votre encontre en cas de violation accidentelle et de bonne foi de la présente politique ;
  • exemptes du Digital Millennium Copyright Act (DMCA), et nous ne porterons pas plainte contre vous pour contournement des contrôles technologiques ;
  • exemptes des restrictions prévues dans nos conditions générales qui entraveraient la recherche en matière de sécurité, et nous renonçons à ces restrictions sur une base limitée pour les travaux effectués dans le cadre de la présente politique ;
  • légales, utiles à la sécurité générale de l'Internet et menées de bonne foi.

Comme toujours, vous êtes tenu(e) de respecter toutes les lois applicables. Si, à un moment ou à un autre, vous avez des inquiétudes ou des doutes quant à la conformité de votre recherche en matière de sécurité avec la présente politique, veuillez soumettre un rapport par l'intermédiaire de l'un de nos canaux de communication définis ci-dessous avant d'aller plus loin.

Champ d'application
  • Tous les sous-domaines de _.bentley.com
  • Tous les produits de bureau de Bentley Systems (uniquement CONNECT Edition et versions ultérieures)
  • Toutes les applications mobiles Bentley Systems
  • Toutes les applications et tous les services de cloud de Bentley
  • Tous les projets Bentley Open Source (y compris imodeljs.org)
Hors champ d'application
  • Infrastructure de Bentley Systems (VPN, Mail Server, SharePoint, Skype, etc.)
  • Résultats des tests physiques, tels que l'accès aux bureaux (par exemple, portes ouvertes,non respect des distances de sécurité)
  • Résultats provenant principalement de l'ingénierie sociale (par exemple, hameçonnage, hameçonnage vocal)
  • Résultats obtenus à partir d'applications ou de systèmes ne figurant pas dans la section « Champ d'application ».
  • Bugs et fautes d'orthographe de l'interface utilisateur et de l'interface graphique
  • Vulnérabilités en matière de déni de service au niveau du réseau (DoS/DDoS)
  • Tous les services hébergés par des fournisseurs et des services de tierce partie
  • https://www.plaxis.ru
  • https://communities.bentley.com Les rapports des communautés doivent être soumis directement à Telligent.
  • Les rapports de Synchro Academy doivent être soumis directement à Cypher Learning.
  • https://ebook.bentley.com/ Les rapports sur les e-books doivent être soumis directement à Impelsys.
  • https://yii.bentley.com/en
  • https://vshow.on24.com/vshow/bsn012108_ve_01/registration/19990
  • https://vshow.on24.com/vshow/bsn012108_ve_01/lobby/19990
Vulnérabilités éligibles
  • Contrôle d'accès interrompu (escalade des privilèges)
  • Problèmes relatifs à la logique d'entreprise
  • Cross-Origin resource sharing (CORS)
  • Cross-Site Request Forgery (CSRF)
  • Cross-Site Scripting (XSS)
  • Directory Traversal
  • DLL hijacking
  • Injection dans un lien hypertexte
  • Identification et authentification
  • Référence d'objet directe non sécurisée (IDOR)
  • Redirection ouverte
  • Autre
  • Exécution de code à distance
  • Mauvaise configuration de la sécurité
  • Exposition de données sensibles
  • Mauvaise configuration de la session
  • Injection SQL
  • Prise de contrôle d'un sous-domaine*
  • Problèmes liés à Word-press
Exclusions
  • Les bogues de logiciels Internet rendus publics dans les 15 jours suivant leur divulgation
  • Les techniques de spam ou d'ingénierie sociale, y compris les problèmes liés à SPF et DKIM
  • Self-XSS (nous demandons des preuves sur la façon dont le XSS peut être utilisé pour attaquer un autre utilisateur)
  • Attaque en lien avec X-Frame-Option (clickjacking)
  • Vulnérabilité de la limite de taux (à moins qu'une démonstration de la faisabilité d'exploitation valide ne soit fournie)
  • Le fichier XMLRPC.php est activé, ce qui peut mener à des attaques DoS
  • Indicateurs de cookies manquants pour les cookies non sensibles
  • En-têtes de sécurité manquants qui ne mènent pas directement à une vulnérabilité (à moins que vous ne fournissiez une démonstration de la faisabilité)
  • Injection d'en-têtes (à moins que vous ne puissiez montrer comment ils peuvent conduire au vol de données utilisateur)
  • Exposition de la version (à moins que vous ne fournissiez une démonstration de la faisabilité d'une exploitation qui fonctionne).
  • Problèmes non exploitables mais entraînant des plantages, des traces d'appels, des fuites d'informations similaires ou des problèmes de stabilité.
  • Déni de service
  • Tout ce qui nécessite des navigateurs, des plates-formes ou de la cryptographie obsolètes (par ex. TLS BEAST, POODLE, etc.)
  • Tout ce qui provient d'un balayage automatique, tout ce qui est déjà public ou tout ce qui n'est pas sous le contrôle de Bentley Systems (par ex. Google Analytics, etc.)
  • Des questions théoriques qui n'ont pas de portée pratique

*Merci de ne faire un rapport qu'après avoir réalisé une démonstration de la faisabilité sous la forme de deux captures d'écran avec horodatage et d'un sous-domaine. Ces captures d'écran doivent prouver que le sous-domaine a été libre pendant au moins une heure. Les outils d'analyse détectent souvent le court laps de temps pendant lequel les modifications apportées au sous-domaine sont exécutées, ce qui peut sembler être une vulnérabilité mais ne l'est pas : l'enregistrement DNS est supprimé peu après. En soumettant les captures d'écran, vous éviterez les rapports de fausses vulnérabilités, ce qui vous fera gagner du temps, ainsi qu'à notre équipe.

Les rapports comportant une démonstration de la faisabilité partielle (une seule preuve d'horodatage ou aucune) ne seront pas traités comme un premier rapport.

NB : La prise en charge effective du sous-domaine signalé en tant que démonstration de la faisabilité est interdite.

Si vous pensez avoir trouvé une faille de sécurité dans l'un de nos produits ou l'une de nos plateformes, veuillez remplir le formulaire sur cette page.

Assurez-vous d'avoir inclus les informations suivantes :

  • Description détaillée de la vulnérabilité contenant des informations telles que l'URL, la requête/réponse HTTP complète et le type de vulnérabilité.
  • Informations nécessaires pour reproduire le problème.
  • Le cas échéant, une capture d'écran et/ou une vidéo de la vulnérabilité.
  • Coordonnées, nom, e-mail, numéro de téléphone, lieu. Les candidatures ne comportant pas ces informations ne seront pas prises en considération.
  • REMARQUE IMPORTANTE. Vous ne pouvez effectuer la soumission initiale que par l'intermédiaire du formulaire. Si vous avez des questions qui ne sont pas mentionnées dans un formulaire, veuillez nous envoyer un courrier électronique à l'adresse suivante : security@bentley.com.
  • Le déni de service est strictement interdit.
  • Toute forme d'attaque par force brute des identifiants est strictement interdite.
  • Il est interdit d'informer le public d'une vulnérabilité signalée avant qu'elle n'ait été corrigée.
  • Vous ne pouvez pas détruire ou dégrader nos performances ni violer la protection de la vie privée ou l'intégrité de nos utilisateurs et de leurs données.
  • L'exploitation des vulnérabilités (autre qu'une démonstration de la faisabilité générique) est strictement interdite et fera l'objet de poursuites conformément à la législation applicable.
  • Si une vulnérabilité permet un accès involontaire aux données, vous devez
    • limiter la quantité de données auxquelles vous avez accès au minimum requis pour faire efficacement la démonstration de la faisabilité ; et
    • cesser les essais ; et
    • soumettre immédiatement un rapport si vous rencontrez des données d'utilisateur pendant les tests, telles que des informations personnelles identifiables, des informations personnelles sur la santé, des données de carte de crédit ou des informations propriétaires.
  • Bentley ne répondra pas à l'extorsion ou à d'autres actes criminels coercitifs (par ex. les demandes de paiement anticipé en échange de la non-exploitation d'une vulnérabilité découverte.

À moins que notre équipe vous informe que la vulnérabilité a été résolue, veuillez ne pas divulguer publiquement la vulnérabilité pendant 90 jours. Le non-respect de cette obligation entraînera des poursuites judiciaires.

Seul le premier chercheur à signaler un problème ou des problèmes similaires sera pris en compte dans le cadre de cette politique. Cela inclut les rapports sur le même problème dans différents environnements (par exemple, dev-, qa-, prod-).

Une fois votre demande reçue :

  • La vulnérabilité signalée sera analysée.
  • Si nous déterminons que la demande est valable et qu'elle répond aux prérequis de la présente politique, vous pouvez recevoir une compensation.
  • Vous serez informé lorsque le problème sera résolu.
Exemples de vulnérabilitéFourchette de prix (USD)**2025 Q4 Price Range (USD)**
Broken Access control (Privilege Escalation)250-450500-900
Problèmes relatifs à la logique d'entreprise100-300200-500
Cross-Origin Resource Sharing (CORS)100-200200-400
Cross-Site Request Forgery (CSRF)150-250300-500
Cross-Site Scripting (XSS)100-200200-400
DLL hijacking50100
Injection dans un lien hypertexte50100
Identification et authentification250-450500-900
Insecure Direct Object Reference (IDOR)250-450500-900
Redirection ouverte50-150200-300
Autre0-500100-600
Exécution de code à distance6001200
Mauvaise configuration de la sécurité50-250100-500
Exposition de données sensibles50-200100-400
Secrets leak200-500400-1000
Mauvaise configuration de la session50-200100-400
Injection SQL250-500500-1000

**Notez que les instances multiples du même problème ne seront indemnisées qu'à hauteur de 3x le prix.

**Les signalements d'un problème dans différents environnements du produit (dev-, qa-, prod-) seront comptés comme un seul.

Nous nous réservons le droit de modifier la présente politique à tout moment et pour quelque raison que ce soit, et nous ne pouvons pas garantir de compensation pour tous les rapports. La compensation se fait uniquement par l'intermédiaire de PayPal. 

IMPORTANT. Veillez à n'envoyer qu'une adresse PayPal valide : nous ne pourrons pas prendre en compte les adresses autres que l'adresse originale pour le paiement. Si la transaction échoue pour quelque raison que ce soit (par ex. PayPal refuse la transaction ; la banque destinataire ne peut pas accepter le paiement ; la limite du montant maximal est atteinte, l'acceptation des paiements se fait uniquement par le biais du site Web ou d'autres instructions, etc.), le paiement sera annulé et ne sera pas soumis à nouveau.

Bentley Systems se réserve le droit de retirer le programme de divulgation responsable et son système de compensation à tout moment et sans préavis.

20 % de réduction sur les logiciels Bentley

L'OFFRE PREND FIN VENDREDI

Utilisez le code « THANKS24 »

Acheter maintenant