En tant que développeurs de logiciels de sécurité, chez ESET nous comprenons l'importance de protéger la vie privée et la sécurité de toutes les personnes qui utilisent notre technologie, pas seulement nos clients. Nous apprécions la confiance que nos clients placent dans nos produits et services et nous nous engageons à maintenir leur sécurité et leur vie privée tout en traitant tous les problèmes qui nous sont signalés. De même, tout en respectant les intérêts commerciaux légitimes d'autres fournisseurs de matériel, de logiciels et de services, si nos recherches en cours découvrent des vulnérabilités dans leurs offres, l'objectif d'ESET est d'assurer la meilleure protection de notre monde numérique collectif. Nous pensons que le meilleur moyen d'y parvenir est de mettre en place un processus coordonné de divulgation des vulnérabilités.
Signaler des problèmes de sécurité à ESET
Nous apprécions le temps et les efforts des chercheurs indépendants en sécurité et nous nous efforçons de travailler en coopération avec eux pour améliorer nos produits et services. Pour signaler un problème de sécurité dans un produit ou un service ESET, veuillez visiter notre page Signaler les vulnérabilités de sécurité. Notre équipe de sécurité s'efforcera de répondre dans les trois jours ouvrables. Nous croyons que la divulgation coordonnée fournit la meilleure protection pour le plus large éventail de technologies pour les consommateurs . À cette fin, nous vous suggérons d'adopter une approche similaire à celle de nos chercheurs lorsque vous signalez les vulnérabilités que nous découvrons dans les produits et services des autres. Notre politique concernant ces divulgations est décrite ci-dessous.
Politique de divulgation coordonnée des vulnérabilités
Les processus de divulgation coordonnée des vulnérabilités encouragent les chercheurs et les fournisseurs à coordonner leurs efforts, l'objectif étant de fournir le meilleur niveau de protection au plus grand nombre d'utilisateurs de technologies, tout en le faisant dans les meilleurs délais. Si nous découvrons une vulnérabilité dans un produit ou un service tiers, nous nous efforcerons de localiser et d'informer les fournisseurs concernés, de coopérer avec eux pour trouver une solution appropriée à la vulnérabilité et de ne pas divulguer publiquement la vulnérabilité jusqu'à ce que le fournisseur publie une mise à jour ou jusqu'à ce que 90 jours se soient écoulés depuis le premier contact avec le fournisseur, selon la première éventualité. Si nous ne parvenons pas à établir un contact satisfaisant avec un fournisseur, nous attendrons 90 jours après notre première tentative de contact avec le fournisseur avant de divulguer publiquement une vulnérabilité.
Nous nous engageons à ne jamais essayer de tirer un profit financier d'une vulnérabilité que nous découvrons et à adhérer aux principes de la divulgation coordonnée tels qu'exprimés dans cette politique.
Toute communication relative aux vulnérabilités découvertes par les chercheurs ESET doit être adressée à : vulnerability.disclosures@eset.com
Découverte et rapport
Les chercheurs ESET peuvent découvrir des vulnérabilités dans des produits ou services tiers pour plusieurs raisons. En dehors des équipes de recherche qui se concentrent spécifiquement sur la recherche de vulnérabilités, l'analyse de logiciels suspects et malveillants aboutit aussi souvent à la découverte de vulnérabilités, de services mal configurés qui peuvent être utilisés pour accéder à ce qui devrait être des données privées, et ainsi de suite.
Lorsque les chercheurs ESET découvrent une vulnérabilité possible ou un service mal configuré, ils suivent le processus suivant :
- Des efforts considérables seront déployés pour localiser les contacts appropriés pour le produit ou le service concerné, notamment : les adresses électroniques standard du secteur telles que secure@<domain>, security@<domain>; ce qui figure dans les métadonnées security.txt du domaine; le support technique ou des contacts similaires facilement identifiables à partir du produit ou du service, de sa documentation ou du site Web du fournisseur ; les comptes de médias sociaux ; ou toute autre méthode de contact que nous avons pu utiliser avec succès précédemment pour les fournisseurs concernés.
- Les contacts identifiés recevront un rapport de divulgation de la vulnérabilité décrivant les produits ou services concernés, la vulnérabilité, les étapes permettant de l'exploiter, des informations indiquant si elle est actuellement exploitée, une évaluation de l'impact de la vulnérabilité, et éventuellement des suggestions sur la manière d'atténuer ou de corriger la vulnérabilité. Ce rapport comprendra également un lien vers la présente politique, une offre d'assistance supplémentaire que nous pourrions être en mesure de fournir et une déclaration de notre intention de publier un rapport de divulgation de la vulnérabilité.
- Le fournisseur doit répondre, même si ce n'est que pour contester la déclaration de vulnérabilité ou pour demander plus de détails.
- Si aucune réponse n'est reçue dans les 7 jours calendaires, le même message sera renvoyé aux contacts identifiés, et d'autres contacts possibles seront également recherchés et recevront le rapport de divulgation de la vulnérabilité. Ces contacts peuvent être sollicités auprès d'autres chercheurs en sécurité avec lesquels nous coopérons régulièrement, et/ou auprès des CERT régionaux, industriels ou nationaux et d'organisations similaires. En dehors du fait que nous avons une vulnérabilité de sécurité à divulguer aux contacts prévus, nous garderons confidentiels tous les détails importants concernant la vulnérabilité pendant la recherche de ces autres contacts.
- Une fois encore, comme il s'agit d'un processus de coopération, le fournisseur doit répondre.
- En l'absence de réponse dans un délai supplémentaire de 14 jours, nous pourrions essayer de contacter les fournisseurs concernés par téléphone.
- Si aucune de ces tentatives de contact n'aboutit à une réponse satisfaisante, nous publierons une divulgation de vulnérabilité 90 jours après la première tentative de contact avec les fournisseurs concernés. Répondre à notre rapport de divulgation de vulnérabilité par des menaces juridiques sera considéré comme une réponse insatisfaisante. Nous souhaitons sincèrement vous aider, vous et vos clients, à obtenir un meilleur résultat en matière de sécurité ou de confidentialité et nous n'avons aucun intérêt financier dans ce résultat, d'une manière ou d'une autre.
- Si le fournisseur répond de manière satisfaisante à l'une de ces tentatives de contact, nous travaillerons alors en coopération avec lui comme décrit dans la section suivante.
Atténuation et calendrier
Une fois qu'un fournisseur répond à notre contact de divulgation de vulnérabilité et indique une volonté de traiter la vulnérabilité, les chercheurs ESET travailleront en coopération avec le fournisseur pour un maximum de 90 jours à partir de la date à laquelle le fournisseur nous répond. Après 90 jours, ou plus tôt si la vulnérabilité est corrigée, etc., nous publierons une divulgation de la vulnérabilité.
- Bien sûr, nous encourageons les fournisseurs à traiter les vulnérabilités de sécurité dans un délai aussi court que possible, mais nous reconnaissons également qu'une trop grande concentration sur la réduction du temps de correction peut produire un résultat moins qu'optimal. Nous mettons l'accent sur l'obtention de la meilleure amélioration de la sécurité ou de la confidentialité globale, de sorte que la vitesse d'atténuation est toujours un point d'équilibre.
- En général, nous nous engageons à ne pas publier une divulgation de vulnérabilité : pendant 90 jours à compter de la réception de la réponse initiale du fournisseur, ou ; pendant 90 jours à compter de la première tentative de contact dans les cas où il n'y a pas de réponse du fournisseur, ou si le fournisseur ne répond pas de manière satisfaisante et reste réticent à coopérer, ou ; à une date antérieure en coordination avec la publication par le fournisseur d'une mise à jour ou d'un correctif qui corrige la vulnérabilité.
- Toutefois, nous nous réservons le droit de publier une divulgation de vulnérabilité à tout moment, en fonction de divers facteurs, notamment : la publication par le fournisseur d'une mise à jour sans coopérer avec ce processus ; la publication indépendante par d'autres chercheurs des détails de la vulnérabilité ; la découverte de l'exploitation de la vulnérabilité dans des attaques réelles ; ou un changement significatif en défaveur de notre évaluation de l'impact de la vulnérabilité.
- Par exemple, si nous estimons que l'intérêt public exige une publication immédiate (comme l'exploitation active d'une vulnérabilité à fort impact dans la nature), nous nous réservons le droit de publier la recherche dans les 7 jours suivant notre première tentative de notification, voire même plus tôt dans des cas extrêmement urgents comme un ver informatique exploitant une vulnérabilité réseau de type "zero-day" pour se répandre sur Internet. Dans de tels cas, cette intention sera clairement décrite dans le rapport de divulgation de la vulnérabilité envoyé aux vendeurs.
- Dans des cas exceptionnels, nous pouvons, à notre seule discrétion, accorder un délai de grâce supérieur à 90 jours. Les fournisseurs qui ont besoin de plus de temps pour développer, tester et publier des mesures d'atténuation appropriées doivent soulever la possibilité d'avoir besoin de plus de temps le plus tôt possible dans le processus de divulgation coordonné.
- Enfin, nous nous réservons la possibilité de divulguer la découverte à un tiers de confiance, tel qu'un CSIRT, un CERT national ou une coalition industrielle appropriée (par exemple, FS-ISAC, ICASI) afin qu'il aide à la coordination de la divulgation, ou même qu'il s'occupe lui-même de la coordination de la divulgation. Dans ce dernier cas, les politiques de divulgation de cette organisation, et non la présente politique, s'appliqueront.