Gestion des vulnérabilités

Programme de récompenses pour la détection de bugs

Programme de gestion des vulnérabilités de Genetec

Confiance, transparence et collaboration

Chez Genetec, nous nous engageons à maintenir les normes de sécurité les plus élevées.

Nous gérons à la fois un programme de divulgation des vulnérabilités (VDP) et un programme privé de récompense pour la détection de bugs, afin d’encourager le signalement responsable des vulnérabilités de sécurité. Les deux programmes sont conçus pour favoriser une approche collaborative de la sécurité, garantissant la protection des données et de la vie privée de nos utilisateurs.

  • Programme de divulgation des vulnérabilités (VDP) : ce programme est ouvert au public et permet aux chercheurs en sécurité de signaler les vulnérabilités qu’ils découvrent dans nos systèmes et applications. Nous apprécions vos efforts pour nous aider à améliorer notre posture de sécurité. Notez qu'aucune récompense n'est offerte.
  • Programme privé de récompense pour la détection de bugs : en complément de notre VDP, nous menons un programme privé de récompense pour la détection de bugs, dans le cadre duquel des chercheurs sélectionnés sont invités à tester nos actifs et sont récompensés pour les rapports de vulnérabilité valides. Ce programme est sur invitation uniquement.

Protection juridique

Nous considérons que les activités qui respectent ce programme sont autorisées et nous n'entamerons pas de poursuites contre vous pour divulgation responsable de vulnérabilités. Si un tiers intente une action en justice contre vous, et à condition que vous ayez respecté ce programme, nous prendrons les mesures appropriées pour informer les autorités compétentes que vos actions ont été menées conformément à nos directives.

Portée du Programme de divulgation des vulnérabilités

Les vulnérabilités touchant des produits maintenus conformément à notre cycle de vie produit seront étudiées et traitées par notre équipe. Outre les produits, les domaines suivants font également partie de ce champ d’application :

  • *.clearance.network
  • *.clearid.io
  • *.genetec.cloud
  • *.genetec.com
  • login.genetec.com
  • *.genetec.one
  • *.geneteccloud.com
  • *.q2c.eu
  • *.autovu.com
  • *.curbsense.com
  • *.autovu.cloud
  • *.ops.center

Quelles vulnérabilités pouvez-vous signaler dans le cadre du Programme de divulgation des vulnérabilités ?

Vulnérabilités admissibles

  • Défauts dans l’authentification
  • Contournement des modèles d’autorisation de notre plateforme/de respect de la vie privée
  • Élévation de privilèges
  • Scripts intersites (XSS)
  • Falsification de demandes intersites (CSRF/XSRF)
  • Exécution de code à distance
  • Injection SQL
  • Inclusion de fichiers locaux
  • Référence d’objet direct non sécurisée
  • Falsification des requêtes côté serveur
     

Vulnérabilités hors de notre champ d’intervention

  • Vulnérabilités reposant sur l’ingénierie sociale (notamment les attaques par hameçonnage visant des employés de Genetec)
  • Attaques par déni de service (DOS)
  • Tentatives physiques contre des biens ou des centres de données de Genetec
  • Attaque prenant le contrôle administratif d’une machine gérant des services
  • Non respect de bonnes pratiques sans répercussion concrète sur la sécurité (par exemple, en-têtes HTTP manquants, configuration SSL/TLS, etc.)
  • Cookies non sécurisés pour des cookies non sensibles ou des cookies tiers
  • Envoi d’attaques XSS aveugles par email ou en spammant des employés de Genetec
  • Paquets tiers vulnérables sans preuve de concept (ex. jQuery)
  • Absence d’enregistrement DNS CAA

Divulgation de vulnérabilité

Dès réception de votre demande d’analyse de vulnérabilité, l’équipe de réponse aux incidents de sécurité des produits (PSIRT) de Genetec procède à son étude et à sa classification. Vous recevrez normalement un e-mail accusant réception du problème signalé dans un délai de deux jours ouvrables. Notre équipe peut vous contacter au cours du processus de remédiation pour établir le score CVSS (Common Vulnerability Scoring System) et confirmer que la solution a bien été déployée.

Le cas échéant, un identifiant CVE (vulnérabilités et expositions communes) sera délivré. La divulgation publique de la vulnérabilité se fera par le biais d’une note de publication et/ou d’un avis de sécurité pour les produits concernés.

Veuillez vous abstenir de communiquer publiquement toute information avant de coordonner cette divulgation.

Gestion des vulnérabilités

Vous avez trouvé une faille de sécurité ?

Signalez-la et nous nous en occuperons immédiatement

À savoir

Spécifications du signalement

Voici une liste des informations dont nous avons besoin pour enquêter sur votre signalement :

  • Indiquez l’URL et tous les paramètres concernés
  • Description du navigateur, du système d’exploitation et/ou de la version de l’application
  • Description des conséquences perçues (expliquez comment la vulnérabilité pourrait être exploitée)
  • Étapes détaillées de la reproduction du bug (le cas échéant, veuillez inclure des captures d’écran, les liens sur lesquels vous avez cliqué, les pages visitées, des vidéos, etc.)

Admissibilité aux récompenses

Voici comment bénéficier d’une récompense dans le cadre de notre Programme de détection de bugs :

  • Soyez le premier à signaler une vulnérabilité inconnue
  • Envoyez une description textuelle précise du signalement ainsi que les étapes permettant de reproduire la vulnérabilité
  • Ajoutez des pièces jointes telles que des captures d’écran ou du code de preuve de concept si nécessaire
  • Communiquez-nous directement le rapport de vulnérabilité et uniquement à nous
  • Les employés actuels de Genetec ne peuvent pas bénéficier des récompenses

La transparence est la clé de notre activité. Parcourez nos bulletins de sécurité

Signaler un bug

Vous avez trouvé une faille de sécurité touchant les produits Genetec ?