FireBounty
48746 policies in database
Link to program      
2022-07-08
Mon Espace Santé (MES) logo
Thank
Gift
HOF
Reward

Reward

Mon Espace Santé (MES)

[[English version below]]

Mon Espace Santé

C’est un espace numérique individuel, un Carnet de Santé Virtuel, qui s’ouvre à tous les Français dès le début de l’année 2022.

Il permet :

  • De stocker ses données de santé en ligne et remplace le dossier médical partagé (DMP) ;
  • De conserver et de classer tous ses documents médicaux.

Il contient en plus :

  • Une messagerie sécurisée avec une adresse pour converser avec les professionnels de santé ;
  • Un agenda pour ses rendez-vous médicaux et autres actes ;
  • Un catalogue d’applications.
  • Les données recueillies par les objets connectés à la condition que les applications utilisées soient référencées, c’est-à-dire qu’elles remplissent toutes les conditions de sécurité imposées par l’Etat Français ;
  • Les profils santé de vos enfants pourront y être intégrés.

Ce site est accessible à tous et compatible avec tous les terminaux (smartphones, tablettes, ordinateurs).
La Caisse Nationale d’Assurance Maladie (CNAM) et le ministère des Solidarités et de la Santé s’engagent à assurer la protection, la confidentialité et la sécurité de toutes les données (administratives et de santé). Sa sécurité et la protection des données personnelles sont garanties par l’État Français, la CNIL, et la CNAM.
Leur hébergement est assuré en France. Parmi les fonctionnalités, certaines revêtent un aspect critique pour l’application.

Règle du programme et éligibilité

Nous pensons qu'aucune technologie n'est parfaite et qu'il est essentiel de travailler avec des chercheurs et des développeurs qualifiés dans le domaine de la sécurité pour identifier les faiblesses de notre technologie.
Afin de renforcer la confiance dans ce service, si vous pensez avoir détecté une faille de sécurité dans notre service, nous serons heureux de travailler avec vous pour résoudre le problème rapidement et faire en sorte que vous soyez équitablement récompensé pour votre découverte.
Tout type d'attaque par déni de service et déni de service distribué est strictement interdit, ainsi que toute perturbation avec les équipements de réseau et l'infrastructure de Mon Espace Santé.

Nous serons heureux de remercier toutes les personnes qui soumettent des rapports de vulnérabilités valides, nous permettant d’améliorer la sécurité du service Mon Espace Santé ; toutefois, seules les personnes qui remplissent les conditions d'admissibilité suivantes peuvent recevoir une récompense :

  • Vous devez être le premier à signaler une vulnérabilité.
  • La vulnérabilité doit être une vulnérabilité qualifiante (voir ci-dessous)
  • Toute vulnérabilité constatée doit être signalée au plus tard 24 heures après sa découverte et exclusivement par le biais de yeswehack.com
  • Vous devez envoyer une description textuelle claire du rapport ainsi que les étapes de reproduction, inclure des pièces jointes telles que des captures d'écran ou une de preuve de concept si nécessaire.
  • Vous devez éviter les tests qui pourraient entraîner une dégradation ou une interruption de notre service (abstenez-vous d'utiliser des outils automatisés).
  • Vous ne devez pas divulguer, manipuler ou détruire les données des utilisateurs.
  • Vous ne devez pas être un ancien ou actuel employé de l'un des membres de l’équipe-projet ENS / Mon Espace Santé.

Les rapports sur les vulnérabilités sont examinés par nos analystes de la sécurité.
Notre analyse est toujours basée sur l'exploitation de la vulnérabilité dans le pire scénario.
Aucune divulgation de la vulnérabilité, y compris partielle, n'est autorisée sans l’accord explicite des gestionnaires du programme.

NOTE : les fuites de données (par exemple une liste de noms de comptes et de mots-de-passe) qui ne sont pas réalisées en exploitant une information ou une vulnérabilité présente sur le système d'information Mon Espace Santé sont exclues du périmètre de ce programme.

Changelog

14/03/2022 : De nouvelles fonctionnalités ont été ajoutées à l'application "Mon Espace Santé"
04/04/2022 : Extension du Scope de 9 url.
29/09/2022 : De nouvelles fonctionnalités ont été ajoutées à "Mon Espace Santé"
26/10/2022 : De nouvelles fonctionnalités et correctifs ont été mis en place.
06/11/2023 : Note on data leakage.

My Health Space

It is an individual digital space, a Virtual Health Notebook, which is open to all French people from the beginning of 2022.

It allows:

  • To store its health data online and replaces the shared medical record (DMP).
  • Keep and file all medical documents.

It also contains:

  • Secure messaging with an address to converse with healthcare professionals.
  • An agenda for medical appointments and other acts.
  • A catalog of applications.
  • The data collected by the connected objects on the condition that the applications used are referenced, that they meet all the security conditions imposed by the French State.
  • Your children's health profiles can be integrated into it.

This site is accessible to all and compatible with all terminals (smartphones, tablets, computers). The Caisse Nationale d'Assurance Maladie (CNAM) and the French Ministry of Solidarity and Health are committed to ensuring the protection, confidentiality and security of all data (administrative and health). Its security and the protection of personal data are guaranteed by the French State, the CNIL, and the CNAM.
Their accommodation is provided in France. Among the features, some have a critical aspect for the application.

Program Rules & Eligibility

We believe that no technology is perfect and that it is essential to work with qualified security researchers and developers to identify weaknesses in our technology.
In order to build trust in this service, if you think you have detected a security flaw in our service, we will be happy to work with you to resolve the issue quickly and ensure that you are fairly rewarded for your discovery.
Any type of denial-of-service and distributed denial-of-service attack is strictly prohibited, as well as any disruption to The Network Equipment and Infrastructure of My Health Space.

We will be happy to thank anyone who submits valid vulnerability reports, allowing us to improve the security of the My Health Space service ; however, only people who meet the following eligibility requirements can receive a reward:

  • You must be the first to report a vulnerability.
  • The vulnerability must be a permissible vulnerability (see below)
  • Any vulnerability found must be reported no later than 24 hours after its discovery and exclusively through yeswehack.com
  • You should send a clear text description of the report as well as the reproduction steps, include attachments such as screenshots or a proof of concept if necessary.
  • You should avoid testing that could lead to degradation or interruption of our service (do not use automated tools).
  • You must not disclose, manipulate or destroy user data.
  • You must not be a former or current employee of one of the members of the ENS / Mon Espace Santé project team.

Vulnerability reports are reviewed by our security analysts.
Our analysis is always based on exploiting the vulnerability in the worst-case scenario.
No disclosure of the vulnerability, including partial disclosure, is permitted without the explicit consent of program managers.

NOTE:
In the context of this program, we won’t reward reports of leaks or exposed credentials, except if they are identified directly on the scope of this program.
In addition to the above and in order not to encourage dark and grey economies, in particular the purchase, resale and trade of identifiers or stolen information, as well as all types of dangerous behavior (e.g. social engineering, ...), we will not accept or reward any report based on information whose source is not the result of failure on the part of our organization or one of our employees/service providers.

Changelog

03/14/2022 : Some new features have been released on "Mon Espace Santé"
04/04/2022 : Scope Extension 9 url.
09/29/2022 : New features have been released on our Apps "Mon Espace Santé" !
10/26/2022 : New features and fixes have been implemented.
11/06/2023 : Note on data leakage.

In Scope

Scope Type Scope Name
android_application

play.google.com/store/apps/details?id=fr.assurancemaladie.monespacesante&showAllReviews=true (Android)
api

api.monespacesante.fr
api

editeur.api.monespacesante.fr
api

api.editeur.preprod.monespacesante.fr
api

api.preprod.monespacesante.fr
api

preprod.api.monespacesante.fr
api

preprod.editeur.api.monespacesante.fr
api

www.editeur.api.monespacesante.fr
ios_application

apps.apple.com/fr/app/mon-espace-sant%C3%A9/id1589255019 (iOS)
mobile_applications

am.monespacesante.fr
mobile_applications

editeur.am.monespacesante.fr
mobile_applications

am.editeur.preprod.monespacesante.fr
mobile_applications

am.preprod.monespacesante.fr
mobile_applications

preprod.am.monespacesante.fr
mobile_applications

preprod.editeur.am.monespacesante.fr
mobile_applications

www.am.monespacesante.fr
mobile_applications

www.editeur.am.monespacesante.fr
web_application

www.monespacesante.fr
web_application

admincms.monespacesante.fr
web_application

adminstore.monespacesante.fr
web_application

auth.monespacesante.fr
web_application

cms.monespacesante.fr
web_application

editeurs.monespacesante.fr
web_application

knowage.monespacesante.fr
web_application

support.monespacesante.fr
web_application

auth.preprod.monespacesante.fr
web_application

preprod.auth.monespacesante.fr
web_application

preprod.monespacesante.fr
web_application

preprod1.monespacesante.fr
web_application

preprod2.monespacesante.fr
web_application

securite.monespacesante.fr
web_application

www.preprod.monespacesante.fr
web_application

www.preprod1.monespacesante.fr
web_application

www.preprod2.monespacesante.fr

Out of Scope

Scope Type Scope Name
undefined

Anything that is not explicitely listed as part of the Scope

Firebounty have crawled on 2022-07-08 the program Mon Espace Santé (MES) on the platform Yeswehack.

FireBounty © 2015-2024

Legal notices | Privacy policy