Programme de récompenses pour la détection de bugs
Programme de gestion des vulnérabilités de Genetec
Confiance, transparence et collaboration
Chez Genetec, nous nous engageons à maintenir les normes de sécurité les plus élevées.
Nous gérons à la fois un programme de divulgation des vulnérabilités (VDP) et un programme privé de récompense pour la détection de bugs, afin d’encourager le signalement responsable des vulnérabilités de sécurité. Les deux programmes sont conçus pour favoriser une approche collaborative de la sécurité, garantissant la protection des données et de la vie privée de nos utilisateurs.
- Programme de divulgation des vulnérabilités (VDP) : ce programme est ouvert au public et permet aux chercheurs en sécurité de signaler les vulnérabilités qu’ils découvrent dans nos systèmes et applications. Nous apprécions vos efforts pour nous aider à améliorer notre posture de sécurité. Notez qu'aucune récompense n'est offerte.
- Programme privé de récompense pour la détection de bugs : en complément de notre VDP, nous menons un programme privé de récompense pour la détection de bugs, dans le cadre duquel des chercheurs sélectionnés sont invités à tester nos actifs et sont récompensés pour les rapports de vulnérabilité valides. Ce programme est sur invitation uniquement.
Protection juridique
Nous considérons que les activités qui respectent ce programme sont autorisées et nous n'entamerons pas de poursuites contre vous pour divulgation responsable de vulnérabilités. Si un tiers intente une action en justice contre vous, et à condition que vous ayez respecté ce programme, nous prendrons les mesures appropriées pour informer les autorités compétentes que vos actions ont été menées conformément à nos directives.
Portée du Programme de divulgation des vulnérabilités
Les vulnérabilités touchant des produits maintenus conformément à notre cycle de vie produit seront étudiées et traitées par notre équipe. Outre les produits, les domaines suivants font également partie de ce champ d’application :
- *.clearance.network
- *.clearid.io
- *.genetec.cloud
- *.genetec.com
- login.genetec.com
- *.genetec.one
- *.geneteccloud.com
- *.q2c.eu
- *.autovu.com
- *.curbsense.com
- *.autovu.cloud
- *.ops.center
Quelles vulnérabilités pouvez-vous signaler dans le cadre du Programme de divulgation des vulnérabilités ?
Vulnérabilités admissibles
- Défauts dans l’authentification
- Contournement des modèles d’autorisation de notre plateforme/de respect de la vie privée
- Élévation de privilèges
- Scripts intersites (XSS)
- Falsification de demandes intersites (CSRF/XSRF)
- Exécution de code à distance
- Injection SQL
- Inclusion de fichiers locaux
- Référence d’objet direct non sécurisée
- Falsification des requêtes côté serveur
Vulnérabilités hors de notre champ d’intervention
- Vulnérabilités reposant sur l’ingénierie sociale (notamment les attaques par hameçonnage visant des employés de Genetec)
- Attaques par déni de service (DOS)
- Tentatives physiques contre des biens ou des centres de données de Genetec
- Attaque prenant le contrôle administratif d’une machine gérant des services
- Non respect de bonnes pratiques sans répercussion concrète sur la sécurité (par exemple, en-têtes HTTP manquants, configuration SSL/TLS, etc.)
- Cookies non sécurisés pour des cookies non sensibles ou des cookies tiers
- Envoi d’attaques XSS aveugles par email ou en spammant des employés de Genetec
- Paquets tiers vulnérables sans preuve de concept (ex. jQuery)
- Absence d’enregistrement DNS CAA