Centre de sécurité
Dernière mise à jour : 1er août 2024
Bienvenue sur le Centre de ressources de sécurité DESLOC. Ce site sécurisé a été conçu pour permettre le signalement des problèmes de sécurité connus concernant les produits et technologies DESLOC. Des experts du secteur identifieront, analyseront et corrigeront les vulnérabilités connues et vous proposeront des solutions pour vous aider à gérer les risques de sécurité.
Pour accéder aux informations et aux instructions sur l'utilisation du Centre de ressources de sécurité DESLOC, veuillez consulter la politique de divulgation et les directives de signalement ci-dessous.
Politique de divulgation
DESLOC estime que la divulgation des vulnérabilités est essentielle à l'amélioration de la qualité de ses produits et services. DESLOC valorise les contributions de la communauté de recherche en sécurité et encourage la divulgation et la collaboration.
Dans le cadre de notre processus de divulgation responsable, DESLOC collabore avec des chercheurs en sécurité et d'autres analystes de vulnérabilités afin de renforcer la sécurité de ses produits et services. Ce processus offre un mécanisme permettant de signaler les vulnérabilités de manière confidentielle, légitime et intègre. La divulgation responsable garantit que l'infrastructure de sécurité est testée et éprouvée. Elle nous permet également de travailler en étroite collaboration avec les chercheurs pour identifier et corriger rapidement les vulnérabilités dans un environnement de sécurité en constante évolution.
Voici la politique de divulgation responsable de DESLOC :
DESLOC communiquera à ses clients les vulnérabilités connues et leurs correctifs de manière à protéger les utilisateurs finaux de ses produits. Les communications de DESLOC mentionneront la personne ayant identifié la vulnérabilité en premier, sauf demande contraire de sa part.
DESLOC est ouvert à la communication et à la collaboration avec les chercheurs en sécurité qui rejoignent DESLOC avec un intérêt commun pour l'amélioration de la sécurité et la coordination de la diffusion d'informations, y compris la vulnérabilité et la solution qui y remédie.
DESLOC ne propose ni programme de primes ni récompense financière au chercheur. Toutefois, DESLOC reconnaîtra publiquement, dans un avis écrit, le travail d'un chercheur en sécurité qui lui fournit en privé des informations valides sur une vulnérabilité, puis collabore avec DESLOC pour coordonner l'annonce publique une fois qu'un correctif a été développé et testé.
Les chercheurs en sécurité sont autorisés à publier un lien vers l'avis de DESLOC sur leurs propres sites Web en reconnaissance de leur contribution à la réduction des risques et à la protection des utilisateurs finaux.
Nous demandons à la communauté des chercheurs en sécurité de collaborer avec DESLOC afin de coordonner la divulgation publique d'une vulnérabilité. La divulgation prématurée d'une vulnérabilité sans en informer préalablement DESLOC pourrait nuire aux utilisateurs finaux, exposer des informations sensibles et mettre en danger les personnes et les organisations face à des attaques malveillantes.
À cette fin, DESLOC préconise fortement une procédure en deux étapes : premièrement, la divulgation confidentielle d’une vulnérabilité potentielle à DESLOC. Une fois la vulnérabilité validée et corrigée, DESLOC coordonne la divulgation publique, qui comprend la reconnaissance de la découverte du chercheur en sécurité, confirmant ainsi que le mérite lui est attribué.
Nous demandons aux chercheurs de bien vouloir prendre en compte que nos actions d'investigation, de validation et de correction des vulnérabilités signalées varient en fonction de leur complexité et de leur gravité. Nous communiquerons les délais prévus, les modifications apportées et collaborerons autant que possible. De plus, nous demandons aux chercheurs de ne pas utiliser d'outils de déni de service ni de compromettre l'infrastructure ou les informations personnelles des utilisateurs de DESLOC lors de leurs tests ou évaluations. Si ce type de test s'avère nécessaire, nous les prions de nous contacter afin que nous puissions, dans la mesure du possible, leur fournir des produits testables dans un environnement hors production.
À l'instar d'autres entreprises de premier plan, DESLOC applique les meilleures pratiques du secteur en matière de divulgation coordonnée des vulnérabilités afin de protéger l'écosystème de sécurité, garantissant ainsi à ses clients des informations de la plus haute qualité et stimulant le débat public sur les moyens d'améliorer les produits, les protocoles, les méthodologies, les normes et les solutions.
Dans le cadre de son programme de divulgation responsable, DESLOC souhaite collaborer avec des chercheurs en sécurité qui adoptent une approche coordonnée et partagée en matière de divulgation publique des vulnérabilités. DESLOC invite les chercheurs en sécurité et autres enquêteurs de vulnérabilités à se joindre à cette initiative.
Lignes directrices pour la rédaction de rapports
Étapes pour signaler une vulnérabilité.
Veuillez signaler toute faille de sécurité potentielle ou avérée à l'équipe de sécurité de DESLOC par courriel à l'adresse support@desloc.com. Veuillez chiffrer votre courriel avec PGP et cette clé publique.
Veuillez inclure les informations ci-dessous dans votre rapport par courriel :
Prénom et nom de famille
Nom de l'entreprise
Numéro de téléphone de contact (facultatif)
Adresse électronique préférée pour le contact
Description générale de la vulnérabilité
Produit présentant une vulnérabilité (versions matérielles et logicielles), références
Outils, matériels et autres configurations nécessaires pour déclencher l'événement
Toutes les mises à jour de sécurité ou de correctifs ont été appliquées.
Instructions du document pour reproduire l'événement
Exemple de code, preuve de concept ou exécutable utilisé pour produire l'événement
Définition de l'impact de la vulnérabilité sur un utilisateur, y compris la manière dont un attaquant pourrait compromettre la sécurité du site.
Produit concerné
Détails du système
Description technique et étapes de reproduction
Preuve de concept (fournir le lien)
Autres parties et produits impliqués
Plans de divulgation/Dates/conducteurs
Quel était l'objectif et la portée de la recherche menée au moment de sa découverte (contexte) ?