1. Introduction

Un objectif important de l’équipe PSIRT de Western Digital (Product Security Incident Response Team) est de protéger la sécurité des utilisateurs finaux de produits Western Digital. La politique de divulgation des vulnérabilités de Western Digital encourage les chercheurs en sécurité et le grand public à agir de bonne foi et à s'engager dans une recherche et une divulgation responsables des vulnérabilités. Si vous pensez avoir découvert une vulnérabilité, des données exposées ou tout autre problème de sécurité, n’hésitez pas à nous contacter. Cette politique décrit les étapes à suivre pour nous signaler des vulnérabilités, clarifie la définition de la bonne foi selon Western Digital dans le contexte de la découverte et du signalement de vulnérabilités potentielles, et explique ce que les chercheurs peuvent attendre de Western Digital en retour.

2. Définitions

1. Nous : Dans cette politique, « nous » désigne l’ensemble de Western Digital et couvre nos marques.
2. Vous / Rapporteur de vulnérabilité : individu, organisation ou groupe limité qui divulgue un rapport de vulnérabilité.
3. Fenêtre de confidentialité : Dès lors que nous acceptons votre signalement de vulnérabilité, notre objectif est de terminer les travaux de résolution du problème concerné et de publier un correctif dans les 90 jours suivant l'accusé de réception initial. Si nous avons besoin d'informations supplémentaires pour confirmer la vulnérabilité, nous vous contacterons. Si nous ne recevons pas de réponse après trois tentatives, nous nous réservons le droit de clore le dossier, mais les communications futures seront toujours les bienvenues.
4. Bulletins de sécurité : nos bulletins de sécurité sont publiés ici :
   https://www.westerndigital.com/support/productsecurity
5. Canal de rapport officiel : le canal de communication pour transmettre les divulgations de vulnérabilités : PSIRT@wdc.com.
6. Accusé de réception initial : Il s'agit de la date à laquelle nous répondons après avoir reçu votre signalement au PSIRT, assorti d'un numéro de dossier et d'une date de divulgation sous 90 jours.

3. Instructions de rapport de vulnérabilité

Pour signaler un problème de sécurité que vous pensez avoir détecté dans un produit ou un service de Western Digital, veuillez envoyer les détails de votre découverte par e-mail à notre canal de rapport officiel. Les messages envoyés à toute autre adresse électronique peuvent entraîner une réponse tardive.

Informations requises :

• Le ou les produits et numéros de version spécifiques ; ou
• pour un ou plusieurs services, le service et/ou l’URL spécifique, incluant un horodatage du problème signalé ; et
• les étapes pour reproduire le problème, y compris une preuve de concept (PoC) ;

Recommandation :

• Fournissez toute référence CWE pertinente, si disponible ;
• si vous pensez que la vulnérabilité a déjà été rendue publique ou si elle est connue de tiers.

Vous pouvez chiffrer les informations avant de les envoyer en utilisant notre clé PGP/GPG.

4. Divulgation de vulnérabilités coordonnée multipartite

Nous suivons les directives et pratiques FIRST pour la Coordination et divulgation multipartite des vulnérabilités.

5. Portée des produits et services

Nous acceptons les rapports de sécurité concernant tous les disques durs et plateformes Western Digital, ainsi que les services cloud associés tant que leur prise en charge ou leurs mises à jour sont toujours actifs. Tous les produits et services dont la prise en charge ou les mises à jour ont pris fin ne sont pas couverts par cette politique de divulgation des vulnérabilités.

6. Hors du champ d’application

Analyses de vulnérabilité des produits

• En l’absence de preuve de concept, le PSIRT n’accepte pas les rapports d’analyse de vulnérabilité de nos appareils.

Pour les signalements de produits Western Digital avec mémoire flash, veuillez consulter la Politique de divulgation des vulnérabilités de SanDisk.

Nous apprécions également les signalements de vulnérabilité concernant notre présence en ligne, notamment sur westerndigital.com. Veuillez envoyer ces signalements à websecurity@wdc.com.

Vulnérabilités Web acceptées :

• Les 10 principales catégories de vulnérabilités selon l’OWASP
• D’autres vulnérabilités présentant un impact avéré

Vulnérabilités Web non acceptées :

• Les vulnérabilités théoriques
• Les divulgations d’informations de données non sensibles
• Les vulnérabilités à faible impact ou à faible probabilité d’exploitation

7. Notre engagement

Lorsque vous travaillez avec nous, conformément à cette politique :

• Nous ne proposons pas actuellement de programme d’attribution de primes pour la découverte de bugs informatiques et ne participons à aucune initiative de ce type. Nous n'honorons pas les demandes de paiement de primes, de matériel promotionnel ou de crédit en dehors du processus de publication de notre bulletin de sécurité.
• Nous accuserons dans un premier temps réception de votre signalement de vulnérabilité dans les trois jours ouvrables suivant sa réception, et nous vous fournirons un numéro de suivi.
• Nous enverrons une confirmation de l'acceptation de la vulnérabilité dans les 30 jours suivant notre accusé de réception initial, et nous inclurons une proposition de délai de correction. Si nous n'acceptons pas le signalement, nous nous en justifierons et resterons ouverts à de nouvelles informations sur celui-ci.
• Après confirmation de la vulnérabilité signalée, nos ingénieurs travailleront à l'élaboration du ou des correctifs appropriés.
• Il arrive que certaines vulnérabilités ne puissent être résolues dans le délai de 90 jours fixé. Si un délai plus long que la fenêtre de confidentialité normale est nécessaire, nous travaillerons avec vous pour prolonger cette fenêtre de confidentialité ou vous informerons autrement. La résolution peut dépendre :
  
  • de fournisseurs en amont dont les délais de résolution sont différents des nôtres ;
  • de changements architecturaux substantiels nécessaires pour remédier à la vulnérabilité ;
  • d’exigences de validation complexes ou étendues résultant de changements nécessaires au niveau d’une couche inférieure d’un micrologiciel, comme dans le cas de vulnérabilités dans le micrologiciel de disques durs.
• Nous publions des bulletins de sécurité à notre propre discrétion afin de fournir des informations de sécurité à nos clients et au public. Nous vous remercierons d'avoir trouvé et signalé la vulnérabilité dans le bulletin de sécurité correspondant et dans le CVE si :
  • la vulnérabilité signalée affecte un produit Western Digital actuellement pris en charge ;
  • nous apportons un changement de code ou de configuration en fonction du problème ;
  • vous êtes la première personne à signaler le problème ;
  • votre recherche est menée conformément à la présente politique ;
  • vous consentez à ce remerciement.
• Nous ne publions pas d’avis pour les améliorations générales de la sécurité ni pour les correctifs de programmation défensifs qui n’ont pas d’impact avéré sur la sécurité.

8. Nos attentes

En participant de bonne foi à notre programme de divulgation des vulnérabilités, nous vous demandons ce qui suit.

• Respectez les règles, notamment en suivant cette politique ainsi que tout autre accord pertinent. En cas d'incohérence entre la présente politique et toute autre condition applicable, les conditions de la présente politique prévaudront.
• Signalez rapidement toute vulnérabilité que vous avez découverte.
• Faites tout votre possible pour éviter les violations de la vie privée, la dégradation de l'expérience utilisateur, la perturbation des systèmes de production et la destruction des données pendant les tests de sécurité. En particulier :
  
  • Ne causez aucun dommage potentiel ou réel à nos utilisateurs, systèmes ou applications, y compris par des tests perturbateurs tels que les dénis de service.
  • N'exploitez pas une vulnérabilité pour visualiser des données non autorisées ou corrompre des données.
  • N'effectuez aucune attaque visant notre personnel, nos biens, nos centres de données, nos partenaires et sociétés affiliées.
  • N'effectuez aucune tentative d'ingénierie sociale ou ne donnez pas une fausse impression de votre affiliation ou de votre autorisation à l'un de nos employés, contractants ou affiliés dans le but d'accéder à nos actifs.
    
  • Ne violez aucune loi et n'enfreignez aucun accord afin de découvrir des vulnérabilités.
    
• Effectuez des recherches uniquement dans le cadre de la portée du produit définie ci-dessus dans la section Portée des produits et services.
• Communiquez-nous les vulnérabilités de sécurité uniquement par le biais de notre processus de signalement de vulnérabilités.
  
• Gardez confidentielles les informations sur les vulnérabilités que vous avez découvertes jusqu'à ce que nous ayons résolu le problème et qu'un bulletin de sécurité soit publié. Ne divulguez aucune information en dehors de la fenêtre de confidentialité.
• Si une vulnérabilité entraîne un accès involontaire aux données :
  
  • limitez au minimum requis la quantité de données auxquelles vous avez accès pour démontrer efficacement une preuve de concept, et
  • cessez les tests et envoyez immédiatement un rapport si vous rencontrez des données utilisateur au cours des tests, telles que des informations d'identification personnelle (PII), des informations personnelles sur la santé (PHI), des données de carte de crédit ou des informations propriétaires.
• N'interagissez qu'avec les comptes de test que vous possédez ou avec les comptes pour lesquels vous avez l'autorisation explicite de leur détenteur.

9. Avertissement

Nous nous réservons le droit de mettre à jour la politique de divulgation des vulnérabilités à tout moment. Veuillez consulter cette politique avant de soumettre des rapports de vulnérabilité. Les divulgations seront régies par la version de cette politique publiée au moment de l'accusé de réception initial.

10. Historique des modifications

Publié : 17 mars 2025
Version : 2.0

11. Références

Cette politique est basée sur les lignes directrices présentées dans les documents ISO 29147 et 30111.
Merci à disclose.io pour son plan et son texte fournis sous Creative Commons CC-0, qui nous ont été très utiles pour créer notre VDP (Vulnerability Disclosure Program).