1. Introduction

Un objectif important de l’équipe de réponse aux incidents de sécurité des produits (PSIRT) de Western Digital est de protéger la sécurité des utilisateurs finaux des produits Western Digital. La politique de divulgation des vulnérabilités de Western Digital encourage les chercheurs en sécurité et le grand public à agir de bonne foi et à effectuer des recherches et des divulgations responsables sur les vulnérabilités. Si vous pensez avoir découvert une vulnérabilité, des données exposées ou d’autres problèmes de sécurité, nous voulons vous entendre. Cette politique décrit les étapes à suivre pour nous signaler les vulnérabilités, clarifie la définition de la bonne foi de Western Digital dans le contexte de la découverte et du signalement de vulnérabilités potentielles, et explique ce que les chercheurs peuvent attendre de Western Digital en retour.

2. Définitions

1. Fenêtre de confidentialité : Si et lorsque nous acceptons votre rapport de vulnérabilité, notre objectif est de mener à bien les travaux de correction et de publier un correctif dans les 90 jours suivant l’accusé de réception initial. Si des renseignements supplémentaires sont nécessaires pour confirmer la vulnérabilité, nous vous contacterons. Si nous ne recevons pas de réponse après trois tentatives, nous pourrons clore le dossier, mais nous serons toujours heureux de recevoir de nouvelles communications.
2. Bulletins de sécurité : Nos bulletins de sécurité sont publiés ici :
   https://www.westerndigital.com/support/productsecurity
3. Vous/rapporteur de vulnérabilité : individu, organisation ou groupe limité qui divulgue un rapport de vulnérabilité.
4. Nous : Dans le cadre de cette politique, « nous » désigne l’ensemble de Western Digital et nos marques, y compris Western Digital, WD, SanDisk, SanDisk Professional, HGST et G-Technology.
5. Canal de signalement officiel : Le canal de communication pour communiquer sur les divulgations de vulnérabilités : PSIRT@wdc.com.
6. Accusé de réception initial : Il s’agit de la date à laquelle nous répondons après avoir reçu votre rapport à l’équipe PSIRT avec un numéro de dossier et une date de divulgation de 90 jours.

3. Instructions pour le signalement des vulnérabilités

Pour signaler un problème de sécurité que vous pensez avoir découvert dans un produit ou un service Western Digital, veuillez envoyer un courriel à notre canal de signalement officiel. Les messages envoyés à d’autres adresses courriel peuvent entraîner un retard de réponse.
Dans la mesure du possible, veuillez inclure les éléments suivants :

• le ou les produits ou services affectés, y compris tout numéro de version pertinent;
• détails sur l’impact de la question;
• tout renseignement pouvant aider à reproduire ou à diagnostiquer le problème, y compris une preuve de concept si disponible;
• si vous pensez que la vulnérabilité est déjà divulguée publiquement ou connue de tiers. Veuillez utiliser notre clé PGP/GPG pour chiffrer les renseignements avant de les envoyer.

Veuillez utiliser notre clé PGP/GPG pour chiffrer les renseignements avant de les envoyer.

4. Divulgation coordonnée multipartite des vulnérabilités

Nous suivons les directives et pratiques de la FIRST pour la coordination et la divulgation multipartite des vulnérabilités. Les chercheurs qui souhaitent signaler une vulnérabilité multipartite mais qui ont besoin d’aide pour naviguer dans le processus ou coordonner plusieurs parties vulnérables peuvent nous contacter. Nous pouvons offrir des conseils et agir en tant que coordinateur si nous confirmons l’acceptation de la vulnérabilité.

5. Portée des produits et services

Tous les produits qui sont encore dans la phase de mise à jour actuelle et limitée, y compris les familles de produits mentionnées ci-dessous. Nous acceptons également les rapports de vulnérabilité sur toutes nos pages Web et nos services infonuagiques. Tous les produits et services ayant atteint leur fin de vie ne sont pas couverts par cette politique de divulgation des vulnérabilités. Voici la liste des produits actuellement concernés :

• Stockage en réseau NAS : My Cloud Home, My Cloud, stockage mobile personnel ibi : My Passport Wireless et iXpand
• Stockage professionnel : G-DRIVE, G-RAID
• WD BLACK
• Stockage externe : My Book, My Passport, WD EasyStore et WD Elements
• Disques internes, disques SSD et solutions Flash intégrées
• Applications de bureau et mobiles : EdgeRover et SanDisk Memory Zone
• Clés USB
• Disques portables 
• Cartes mémoire

Vous trouverez ci-dessous de plus amples renseignements sur le cycle de vie de notre support produit :
SanDisk : https://kb.sandisk.com/app/answers/detail/a_id/22809 
G-Technology : https://support.g-technology.com/downloads.aspx?lang=en
WD Products : https://www.westerndigital.com/fr-ca/support/software/software-life-cycle-policy

6. Nos engagements

Lorsque vous travaillez en collaboration avec nous, conformément à cette politique :

• Actuellement, nous ne proposons pas de programmes permanents de chasse aux bogues et nous n’y participons pas. Nous n’honorons pas les demandes de paiement de primes, de matériel promotionnel ou de crédit en dehors du processus de publication de notre bulletin de sécurité.
• Nous accuserons réception de votre rapport de vulnérabilité dans les trois jours ouvrables suivant sa réception et nous vous fournirons un numéro de suivi.
• Nous enverrons une confirmation de l’acceptation de la vulnérabilité dans les 30 jours suivant notre accusé de réception initial, et nous inclurons une proposition de délai de correction. Si nous n’acceptons pas le signalement, nous fournirons notre raisonnement et nous resterons ouverts à de nouveaux renseignements sur celui-ci.
• Une fois que la vulnérabilité signalée aura été confirmée, nos ingénieurs travailleront à l’élaboration du ou des correctifs appropriés.
• Il arrive que certaines vulnérabilités ne puissent être résolues dans le délai de 90 jours. Si vous avez besoin de plus de temps que la fenêtre de confidentialité normale, nous travaillerons avec vous pour prolonger la fenêtre de confidentialité ou vous en informer autrement. La résolution peut dépendre de ce qui suit :
  
  • Des fournisseurs en amont avec des délais de résolution différents des nôtres.
  • Des changements architecturaux substantiels sont nécessaires pour remédier à la vulnérabilité.
  • Des exigences de validation complexes ou étendues résultant de modifications de microprogrammes de bas niveau, par ex., pour les vulnérabilités des microprogrammes de disques durs ou de disques SSD.
• Nous publions des bulletins de sécurité à notre propre discrétion, afin de fournir des renseignements sur la sécurité à nos clients et au public. Nous vous remercierons d’avoir trouvé et signalé la vulnérabilité dans le bulletin de sécurité correspondant et dans CVE si :
  • la vulnérabilité signalée affecte un produit Western Digital actuellement pris en charge;
  • nous apportons un changement de code ou de configuration en fonction du problème;
  • vous êtes la première personne à signaler le problème;
  • votre recherche est menée conformément à la présente politique; et
  • vous consentez à la reconnaissance.

7. Nos attentes

En participant de bonne foi à notre programme de divulgation des vulnérabilités, nous vous demandons ce qui suit.

• Respectez les règles, y compris la présente politique et tout autre accord pertinent. En cas d’incohérence entre la présente politique et toute autre condition applicable, les conditions de la présente politique prévaudront.
• Signalez rapidement toute vulnérabilité que vous avez découverte.
• Faites tout votre possible pour éviter les violations de la vie privée, la dégradation de l’expérience utilisateur, la perturbation des systèmes de production et la destruction des données pendant les tests de sécurité. En particulier :
  
  • Ne causez pas de dommages potentiels ou réels à nos utilisateurs, systèmes ou applications, y compris par des essais perturbateurs comme les dénis de service.
  • N’exploitez pas une vulnérabilité pour visualiser des données non autorisées ou corrompre des données.
  • N’effectuez pas d’attaques visant notre personnel, nos biens, nos centres de données, nos partenaires et nos sociétés affiliées.
  • N’effectuez pas de tentatives d’ingénierie sociale ou ne donnez pas une fausse impression de votre affiliation ou de votre autorisation à l’un de nos employés, entrepreneurs ou sociétés affiliées pour accéder à nos actifs.
    
  • Ne violez aucune loi et n’enfreignez aucun accord afin de découvrir des vulnérabilités.
    
• Effectuez uniquement des recherches dans le cadre de la portée du produit définie ci-dessus dans la section Portée des produits et services.
• Communiquez-nous les vulnérabilités de sécurité uniquement par le biais de notre processus de signalement des vulnérabilités.
  
• Gardez confidentiels les renseignements sur les vulnérabilités que vous avez découvertes jusqu’à ce que nous ayons résolu le problème et qu’un bulletin de sécurité soit publié. Ne divulguez pas de renseignements en dehors de la fenêtre de confidentialité.
• Si une vulnérabilité permet un accès involontaire aux données :
  
  • limitez la quantité de données auxquelles vous avez accès au minimum requis pour démontrer efficacement une preuve de concept; et
  • cessez les tests et soumettez immédiatement un rapport si vous rencontrez des données d’utilisateur pendant les tests, telles que des informations personnelle, des renseignements personnels sur la santé, des données de carte de crédit ou des informations exclusives.
• N’interagissez qu’avec les comptes de test que vous possédez ou avec les comptes pour lesquels vous avez l’autorisation explicite du titulaire du compte.

8. Avertissement

Nous pouvons mettre à jour la politique de divulgation des vulnérabilités de temps à autre. Veuillez consulter cette politique avant de soumettre des rapports de vulnérabilité. Les divulgations seront régies par la version de cette politique publiée au moment de la reconnaissance initiale.

9. Historique des changements

Publication : 15-10-2021
Version : 1.1

10. Références

Cette politique est basée sur les lignes directrices présentées dans les documents ISO 29147 & 30111.
Merci à disclose.io pour son plan et son texte fournis sous Creative Commons CC-0, qui nous ont été très utiles pour créer notre politique de divulgation des vulnérabilités.