1. Introduction

Un objectif important de l’équipe PSIRT de Western Digital (Product Security Incident Response Team) est de protéger la sécurité des utilisateurs finaux de produits Western Digital. La politique de divulgation des vulnérabilités de Western Digital encourage les chercheurs en sécurité et le grand public à agir de bonne foi et à s'engager dans une recherche et une divulgation responsables des vulnérabilités. Si vous pensez avoir découvert une vulnérabilité, des données exposées ou tout autre problème de sécurité, n’hésitez pas à nous contacter. Cette politique décrit les étapes à suivre pour nous signaler des vulnérabilités, clarifie la définition de la bonne foi selon Western Digital dans le contexte de la découverte et du signalement de vulnérabilités potentielles, et explique ce que les chercheurs peuvent attendre de Western Digital en retour.

2. Définitions

1. Fenêtre de confidentialité : Dès lors que nous acceptons votre signalement de vulnérabilité, notre objectif est de terminer les travaux de résolution du problème concerné et de publier un correctif dans les 90 jours suivant l'accusé de réception initial. Si nous avons besoin d'informations supplémentaires pour confirmer la vulnérabilité, nous vous contacterons. Si nous ne recevons pas de réponse après trois tentatives, nous nous réservons le droit de clore le dossier, mais les communications futures seront toujours les bienvenues.
2. Bulletins de sécurité : Nos bulletins de sécurité sont publiés ici :
   https://www.westerndigital.com/support/productsecurity
3. Vous / Rapporteur de vulnérabilité : individu, organisation ou groupe limité qui divulgue un rapport de vulnérabilité.
4. Nous : dans cette politique, « nous » désigne l'ensemble de Western Digital et couvre nos marques, parmi lesquelles : Western Digital, WD, SanDisk, SanDisk Professional, HGST et G-Technology.
5. Canal de rapport officiel : le canal de communication pour transmettre les divulgations de vulnérabilités : PSIRT@wdc.com.
6. Accusé de réception initial : Il s'agit de la date à laquelle nous répondons après avoir reçu votre signalement au PSIRT, assorti d'un numéro de dossier et d'une date de divulgation sous 90 jours.

3. Instructions de rapport de vulnérabilité

Pour signaler un problème de sécurité que vous pensez avoir détecté dans un produit ou un service de Western Digital, veuillez envoyer les détails de votre découverte par e-mail à notre canal de rapport officiel. Les messages envoyés à toute autre adresse électronique peuvent entraîner une réponse tardive.
Si possible, veuillez inclure les informations suivantes :

• le ou les produits ou services spécifiques concernés, en mentionnant tout numéro de version pertinent ;
• des détails sur les conséquences du problème ;
• toute information permettant de reproduire ou de diagnostiquer le problème, y compris une preuve de concept (PoC) si disponible ;
• si vous pensez que la vulnérabilité a déjà été rendue publique ou si elle est connue de tiers. Veuillez utiliser notre clé PGP/GPG pour crypter les informations avant de les envoyer.

Veuillez utiliser notre clé PGP/GPG pour crypter les informations avant de les envoyer.

4. Divulgation de vulnérabilités coordonnée multipartite

Nous suivons les directives et pratiques FIRST pour la Coordination et divulgation multipartite des vulnérabilités. Les chercheurs qui souhaitent signaler une vulnérabilité multipartite, mais désirent de l'aide pour suivre le processus ou coordonner plusieurs parties vulnérables peuvent nous contacter. Nous pouvons offrir des conseils et agir en tant que coordinateur si nous confirmons l'acceptation de la vulnérabilité.

5. Portée des produits et services

Tous les produits qui sont encore dans la phase courante et limitée des mises à jour, y compris les gammes de produits mentionnées ci-dessous. Nous apprécions également les signalements de vulnérabilités repérées sur la totalité de nos pages web et services cloud. Tous les produits et services ayant atteint leur fin de vie ne sont pas couverts par cette politique de divulgation des vulnérabilités. Voici la liste des produits actuellement concernés :

• Stockage en réseau (NAS) : My Cloud Home, My Cloud, stockage mobile personnel ibi : My Passport Wireless et iXpand
• Stockage professionnel : G-DRIVE, G-RAID
• WD BLACK
• Solution de stockage externe : My Book, My Passport, WD EasyStore et WD Elements
• Disques internes, SSD et Flash embarqué
• Applications de bureau et mobiles : EdgeRover et SanDisk Memory Zone
• Disques flash USB
• Disques durs portables 
• Cartes mémoire

Consultez les pages ci-dessous pour plus d'informations sur le cycle de vie de notre support produit :
SanDisk : https://kb.sandisk.com/app/answers/detail/a_id/22809
G-Technology : https://support.g-technology.com/downloads.aspx?lang=en
Produits WD : https://www.westerndigital.com/fr-fr/support/software/software-life-cycle-policy

6. Notre engagement

Lorsque vous travaillez avec nous, conformément à cette politique :

• Nous ne proposons pas actuellement de programme d'attribution de primes pour la découverte de bugs informatiques et ne participons à aucune initiative de ce type. Nous n'honorons pas les demandes de paiement de primes, de matériel promotionnel ou de crédit en dehors du processus de publication de notre bulletin de sécurité.
• Nous accuserons dans un premier temps réception de votre signalement de vulnérabilité dans les trois jours ouvrables suivant sa réception, et nous vous fournirons un numéro de suivi.
• Nous enverrons une confirmation de l'acceptation de la vulnérabilité dans les 30 jours suivant notre accusé de réception initial, et nous inclurons une proposition de délai de correction. Si nous n'acceptons pas le signalement, nous nous en justifierons et resterons ouverts à de nouvelles informations sur celui-ci.
• Après confirmation de la vulnérabilité signalée, nos ingénieurs travailleront à l'élaboration du ou des correctifs appropriés.
• Il arrive que certaines vulnérabilités ne puissent être résolues dans le délai de 90 jours fixé. Si un délai plus long que la fenêtre de confidentialité normale est nécessaire, nous travaillerons avec vous pour prolonger cette fenêtre de confidentialité ou vous informerons autrement. La résolution peut dépendre :
  
  • de fournisseurs en amont dont les délais de résolution sont différents des nôtres ;
  • de changements architecturaux substantiels nécessaires pour remédier à la vulnérabilité ;
  • d'exigences de validation complexes ou étendues résultant de changements nécessaires au niveau d’une couche inférieure d’un micrologiciel, comme dans le cas de vulnérabilités dans le micrologiciel de disques durs ou SSD.
• Nous publions des bulletins de sécurité à notre propre discrétion afin de fournir des informations de sécurité à nos clients et au public. Nous vous remercierons d'avoir trouvé et signalé la vulnérabilité dans le bulletin de sécurité correspondant et dans le CVE si :
  • la vulnérabilité signalée affecte un produit Western Digital actuellement pris en charge ;
  • nous apportons un changement de code ou de configuration en fonction du problème ;
  • vous êtes la première personne à signaler le problème ;
  • votre recherche est menée conformément à la présente politique ;
  • vous consentez à ce remerciement.

7. Nos attentes

En participant de bonne foi à notre programme de divulgation des vulnérabilités, nous vous demandons ce qui suit.

• Respectez les règles, notamment en suivant cette politique ainsi que tout autre accord pertinent. En cas d'incohérence entre la présente politique et toute autre condition applicable, les conditions de la présente politique prévaudront.
• Signalez rapidement toute vulnérabilité que vous avez découverte.
• Faites tout votre possible pour éviter les violations de la vie privée, la dégradation de l'expérience utilisateur, la perturbation des systèmes de production et la destruction des données pendant les tests de sécurité. En particulier :
  
  • Ne causez aucun dommage potentiel ou réel à nos utilisateurs, systèmes ou applications, y compris par des tests perturbateurs tels que les dénis de service.
  • N'exploitez pas une vulnérabilité pour visualiser des données non autorisées ou corrompre des données.
  • N'effectuez aucune attaque visant notre personnel, nos biens, nos centres de données, nos partenaires et sociétés affiliées.
  • N'effectuez aucune tentative d'ingénierie sociale ou ne donnez pas une fausse impression de votre affiliation ou de votre autorisation à l'un de nos employés, contractants ou affiliés dans le but d'accéder à nos actifs.
    
  • Ne violez aucune loi et n'enfreignez aucun accord afin de découvrir des vulnérabilités.
    
• Effectuez des recherches uniquement dans le cadre de la portée du produit définie ci-dessus dans la section Portée des produits et services.
• Communiquez-nous les vulnérabilités de sécurité uniquement par le biais de notre processus de signalement de vulnérabilités.
  
• Gardez confidentielles les informations sur les vulnérabilités que vous avez découvertes jusqu'à ce que nous ayons résolu le problème et qu'un bulletin de sécurité soit publié. Ne divulguez aucune information en dehors de la fenêtre de confidentialité.
• Si une vulnérabilité entraîne un accès involontaire aux données :
  
  • limitez au minimum requis la quantité de données auxquelles vous avez accès pour démontrer efficacement une preuve de concept, et
  • cessez les tests et envoyez immédiatement un rapport si vous rencontrez des données utilisateur au cours des tests, telles que des informations d'identification personnelle (PII), des informations personnelles sur la santé (PHI), des données de carte de crédit ou des informations propriétaires.
• N'interagissez qu'avec les comptes de test que vous possédez ou avec les comptes pour lesquels vous avez l'autorisation explicite de leur détenteur.

8. Avertissement

Nous nous réservons le droit de mettre à jour la politique de divulgation des vulnérabilités à tout moment. Veuillez consulter cette politique avant de soumettre des rapports de vulnérabilité. Les divulgations seront régies par la version de cette politique publiée au moment de l'accusé de réception initial.

9. Historique des modifications

Publié : 15/10/2021
Version : 1.1

10. Références

Cette politique est basée sur les lignes directrices présentées dans les documents ISO 29147 et 30111.
Merci à disclose.io pour son plan et son texte fournis sous Creative Commons CC-0, qui nous ont été très utiles pour créer notre VDP (Vulnerability Disclosure Program).