Gestion des vulnérabilités

Programme de récompenses pour la détection de bugs

Programme de gestion des vulnérabilités de Genetec

Confiance, transparence et collaboration

Vous pensez avoir découvert une faille de sécurité dans l’un de nos produits ? Vous êtes au bon endroit. Notre équipe spécialisée est prête à collaborer avec vous pour trouver une solution le plus rapidement possible.

Champ d’application du programme

Les vulnérabilités touchant des produits maintenus conformément à notre cycle de vie produit, seront étudiées et traitées par notre équipe. Outre les produits, les domaines suivants font également partie de ce champ d’application :

  • *.clearance.network
  • *.clearid.io
  • *.genetec.cloud
  • *.genetec.com
  • login.genetec.com
  • *.genetec.one
  • *.geneteccloud.com
  • *.q2c.eu
  • *.autovu.com
  • *.curbsense.com
  • *.autovu.cloud

Quelles vulnérabilités pouvez-vous signaler ?

Vulnérabilités admissibles

  • Défauts dans l’authentification
  • Contournement des modèles d’autorisation de notre plateforme/de respect de la vie privée
  • Élévation de privilèges
  • Scripts intersites (XSS)
  • Falsification de demandes intersites (CSRF/XSRF)
  • Exécution de code à distance
  • Injection SQL
  • Inclusion de fichiers locaux
  • Référence d’objet direct non sécurisée
  • Falsification des requêtes côté serveur
     

Vulnérabilités hors de notre champ d’intervention

  • Vulnérabilités reposant sur l’ingénierie sociale (notamment les attaques par hameçonnage visant des employés de Genetec)
  • Attaques par déni de service (DOS)
  • Tentatives physiques contre des biens ou des centres de données de Genetec
  • Attaque prenant le contrôle administratif d’une machine gérant des services
  • Non respect de bonnes pratiques sans répercussion concrète sur la sécurité (par exemple, en-têtes HTTP manquants, configuration SSL/TLS, etc.)

Divulgation de vulnérabilité

Dès réception de votre demande d’analyse de vulnérabilité, l’équipe de réponse aux incidents de sécurité des produits (PSIRT) de Genetec procède à son étude et à sa classification. Vous recevrez normalement un e-mail accusant réception du problème signalé dans un délai de deux jours ouvrables. Notre équipe peut vous contacter au cours du processus de remédiation pour établir le score CVSS (Common Vulnerability Scoring System) et confirmer que la solution a bien été déployée.

Le cas échéant, un identifiant CVE (vulnérabilités et expositions communes) sera délivré. La divulgation publique de la vulnérabilité se fera par le biais d’une note de publication et/ou d’un avis de sécurité pour les produits concernés.

Veuillez vous abstenir de communiquer publiquement toute information avant de coordonner cette divulgation.

Gestion des vulnérabilités

Vous avez trouvé une faille de sécurité ?

Signalez-la et nous nous en occuperons immédiatement

À savoir

Spécifications du signalement

Voici une liste des informations dont nous avons besoin pour enquêter sur votre signalement :

  • Indiquez l’URL et tous les paramètres concernés
  • Description du navigateur, du système d’exploitation et/ou de la version de l’application
  • Description des conséquences perçues (expliquez comment la vulnérabilité pourrait être exploitée)
  • Étapes détaillées de la reproduction du bug (le cas échéant, veuillez inclure des captures d’écran, les liens sur lesquels vous avez cliqué, les pages visitées, des vidéos, etc.)

Admissibilité aux récompenses

Voici comment bénéficier d’une récompense dans le cadre de notre Programme de détection de bugs :

  • Soyez le premier à signaler une vulnérabilité inconnue
  • Envoyez une description textuelle précise du signalement ainsi que les étapes permettant de reproduire la vulnérabilité
  • Ajoutez des pièces jointes telles que des captures d’écran ou du code de preuve de concept si nécessaire
  • Communiquez-nous directement le rapport de vulnérabilité et uniquement à nous
  • Les employés actuels de Genetec ne peuvent pas bénéficier des récompenses

La transparence est la clé de notre activité. Parcourez nos bulletins de sécurité

Signaler un bug

Vous avez trouvé une faille de sécurité touchant les produits Genetec ?