Politique coordonnée de divulgation des vulnérabilités
Sonos s’engage à protéger les données et la vie privée de ses clients en traitant les recherches de vulnérabilités de manière rapide et efficace. Nous recommandons aux chercheurs en sécurité de suivre cette politique de divulgation coordonnée lorsqu’ils signalent des failles de sécurité. L’équipe de réponse aux vulnérabilités de sécurité se chargera de recevoir et de traiter les signalements de vulnérabilités. Cette politique s’applique aux parties qui découvrent ou qui signalent des vulnérabilités dans nos produits. Cette politique se fonde sur les techniques utilisées dans la norme ISO sur la divulgation des vulnérabilités (ISO/IEC 29147) et y fait référence.
Exigences :
Dans le cadre de cette politique, on entend par « recherche sur les vulnérabilités » les activités au cours desquelles les chercheurs en sécurité :
- notifient l’équipe de sécurité de Sonos dès que possible après la découverte d’une vulnérabilité de sécurité, réelle ou potentielle;
- s’efforcent de bonne foi d’éviter les violations de la vie privée, de préserver l’expérience de l’utilisateur, de prévenir les perturbations des systèmes de production et de se prémunir contre la destruction ou la manipulation des données (les tests de sécurité qui enfreignent une loi peuvent donner lieu à une enquête criminelle ou juridique; reportez-vous à la section Questions juridiques et protections);
- gardent les vulnérabilités confidentielles pendant la période de divulgation coordonnée des vulnérabilités, tout en accordant à Sonos un délai raisonnable pour résoudre le problème avant la divulgation publique.
Couverture des vulnérabilités :
Cette politique couvre toutes les vulnérabilités dans les produits et les plateformes interconnectés ainsi que les applications mobiles de contrôle de Sonos. Elle inclut les vulnérabilités dans le micrologiciel, les applications mobiles et les services infonuagiques.
Tout service non expressément indiqué ci-dessus, tel que les services connectés, est exclu du champ d’application et n’est pas autorisé à être testé par Sonos. En outre, les vulnérabilités trouvées dans les systèmes de nos fournisseurs ne relèvent pas du champ d’application de la présente politique et elles doivent être signalées directement au fournisseur, conformément à sa politique de divulgation (le cas échéant). Si vous n’êtes pas sûr qu’un système entre ou non dans le champ d’application de la politique, communiquez avec nous à l’adresse security@sonos.com. Remarque : Les chercheurs en sécurité doivent consulter les politiques de divulgation externes des vulnérabilités de tout service tiers interconnecté afin de déterminer le champ d’application des tests autorisés pour ces services.
Tout service non expressément indiqué ci-dessus, tel que les services connectés, est exclu du champ d’application et n’est pas autorisé à être testé par Sonos. En outre, les vulnérabilités trouvées dans les systèmes de nos fournisseurs ne relèvent pas du champ d’application de la présente politique et elles doivent être signalées directement au fournisseur, conformément à sa politique de divulgation (le cas échéant). Si vous n’êtes pas sûr qu’un système entre ou non dans le champ d’application de la politique, communiquez avec nous à l’adresse security@sonos.com. Remarque : Les chercheurs en sécurité doivent consulter les politiques de divulgation externes des vulnérabilités de tout service tiers interconnecté afin de déterminer le champ d’application des tests autorisés pour ces services.
Signalement des vulnérabilités :
Nous encourageons la divulgation responsable des vulnérabilités à notre équipe de réponse aux vulnérabilités de sécurité.
Les signalements peuvent être soumis de manière anonyme.
Les vulnérabilités peuvent être signalées en envoyant un courriel à security@sonos.com avec pour objet « Signalement de vulnérabilité ».
Nous encourageons vivement les chercheurs en sécurité à utiliser les canaux de communication cryptés pour soumettre des rapports de sécurité. Notre clé PGP publique se trouve ici.
Les signalements doivent contenir autant d’information que possible. Les renseignements suivants nous aideront à évaluer votre rapport le plus rapidement possible :
Les signalements peuvent être soumis de manière anonyme.
Les vulnérabilités peuvent être signalées en envoyant un courriel à security@sonos.com avec pour objet « Signalement de vulnérabilité ».
Nous encourageons vivement les chercheurs en sécurité à utiliser les canaux de communication cryptés pour soumettre des rapports de sécurité. Notre clé PGP publique se trouve ici.
Les signalements doivent contenir autant d’information que possible. Les renseignements suivants nous aideront à évaluer votre rapport le plus rapidement possible :
- Description du problème et de ses conséquences potentielles
- Produits et versions de logiciels concernés
- Instructions pour reproduire le problème
- Validation de principe
- Mesures d’atténuation ou de remédiation suggérées, le cas échéant
Ce à quoi vous pouvez vous attendre de nous :
- Après avoir signalé une vulnérabilité, les parties externes peuvent s’attendre à recevoir un accusé de réception dans les trois jours ouvrables.
- Nous tiendrons les parties externes informées de l’état de leur signalement toutes les deux à trois semaines tout au long du processus de traitement, y compris lorsque la vulnérabilité a été corrigée.
- Nous attribuerons un niveau de gravité à la vulnérabilité et la classerons par ordre de priorité en fonction du risque qu’elle représente pour les données et la vie privée de nos clients.
Remerciements :
Bien que nous ne disposions pas actuellement d’un programme de récompense pour les chercheurs en sécurité externes, nous disposons d’un espace pour reconnaître la divulgation responsable sur notre page Reconnaissance des chercheurs en sécurité.
Questions juridiques et protections :
Nous nous engageons à protéger les personnes qui signalent des vulnérabilités de bonne foi. Conformément à la présente politique, nous n’engagerons pas de poursuites judiciaires à l’encontre des personnes qui signalent des vulnérabilités. À moins que l’auteur du signalement ne demande explicitement à être reconnu, ou si la loi l’exige, nous préserverons la confidentialité de son identité.
Conclusion :
Nous pensons qu’une divulgation responsable est essentielle pour protéger les données et la vie privée de nos clients. La présente politique décrit notre engagement à traiter les vulnérabilités de manière rapide et efficace. Nous encourageons toutes les parties à signaler les vulnérabilités à notre équipe de réponse aux vulnérabilités de sécurité et à collaborer avec nous afin de protéger nos clients.