Passer au contenu principal
Si vous avez un abonnement payant à Auth0, vous pouvez effectuer un test de sécurité de votre application impliquant l’infrastructure d’Auth0 (p. ex. your-tenant.auth0.com) avec une autorisation préalable.

Soumettre une demande de test d’intrusion

Pour effectuer un test de sécurité, veuillez nous en aviser à l’avance par l’intermédiaire du Support Center. Auth0 exige un préavis d’au moins 7 jours avant la date de début prévue de votre test. Si le test est limité à votre infrastructure (c’est-à-dire qu’aucun service d’Auth0 ne sera testé), vous n’avez pas besoin d’en aviser Auth0.

Renseignements requis

Veuillez fournir les renseignements suivants dans le ticket d’assistance lorsque vous demandez une approbation pour des tests :
  • Les dates et heures précises du test, ainsi que le fuseau horaire. Les tests ne sont pas autorisés pendant une période de gel des changements. Pour en savoir plus, consultez la politique de gel des changements pour les tests d’intrusion ci-dessous.
  • Le scope et l’objectif du test
  • La ou les adresses IP d’où proviendra le test
  • Les outils dont l’utilisation est prévue
  • Les requêtes par seconde (le test doit être conforme à la politique sur les limites de débit)
  • Le ou les locataires Auth0 concernés
  • Deux contacts - numéro de téléphone et courriel -  qui seront disponibles pendant toute la durée du test au cas où nous aurions besoin de communiquer avec vous. Si nous avons des questions, nous ferons des efforts raisonnables pour vous joindre. Si nous ne pouvons pas vous joindre, nous nous réservons le droit de prendre des mesures pour protéger le service, ce qui peut inclure la désactivation ou le blocage de votre locataire et/ou de la source du trafic d’intrusion.

Politique de gel des changements

Les tests d’intrusion sont interdits pendant les périodes de gel des changements.
Pour consulter les périodes de gel des changements actuellement prévues, consultez la politique de gel des changements.

Exigences de test

Auth0 exige que :
  • Le test soit restreint à votre locataire seulement
  • Les requêtes de test par seconde ne dépassent pas les limites définies dans notre politique sur les limites de débit
  • Vous signaliez toute constatation suspecte à l’équipe de sécurité d’Auth0 afin d’obtenir des explications ou d’en discuter

Signalement des vulnérabilités identifiées

Pour signaler une vulnérabilité que vous avez identifiée, veuillez consulter la Politique de signalement des vulnérabilités.

Restrictions

  • Vous ne pouvez pas effectuer de tests par déni de service (DoS) ni lancer d’attaques volumétriques non autorisées contre un locataire ou un espace. Consultez la politique sur les tests de charge pour en savoir plus.
  • Vous ne pouvez pas effectuer de tests d’intrusion visant notre tableau de bord de gestion. Les API Management et Authentication sont autorisées.
  • Vous ne pouvez pas effectuer de tests d’intrusion visant des locataires que nous n’avons pas approuvés.

Clients du cloud privé

Les clients du cloud privé doivent également demander l’autorisation d’effectuer un test d’intrusion par l’entremise de l’Auth0 Support Center. Veuillez inclure les renseignements indiqués ci-dessus dans votre demande d’assistance.

En savoir plus