Gestion des vulnérabilités

Programme de récompenses pour la détection de bugs

Programme de gestion des vulnérabilités de Genetec

Confiance, transparence et collaboration

Vous pensez avoir découvert une faille de sécurité dans l’un de nos produits ? Vous êtes au bon endroit. Notre équipe spécialisée est prête à collaborer avec vous pour trouver une solution le plus rapidement possible.

Champ d’application du programme

Les vulnérabilités touchant des produits maintenus conformément à notre cycle de vie produit, seront étudiées et traitées par notre équipe. Outre les produits, les domaines suivants font également partie de ce champ d’application :

  • *.clearance.network
  • *.clearid.io
  • *.genetec.cloud
  • *.genetec.com
  • login.genetec.com
  • *.genetec.one
  • *.geneteccloud.com
  • *.q2c.eu
  • *.stratocast.com
  • *.autovu.com
  • *.curbsense.com
  • *.autovu.cloud

Quelles vulnérabilités pouvez-vous signaler ?

Vulnérabilités admissibles

  • Défauts dans l’authentification
  • Contournement des modèles d’autorisation de notre plateforme/de respect de la vie privée
  • Élévation de privilèges
  • Scripts intersites (XSS)
  • Falsification de demandes intersites (CSRF/XSRF)
  • Exécution de code à distance
  • Injection SQL
  • Inclusion de fichiers locaux
  • Référence d’objet direct non sécurisée
  • Falsification des requêtes côté serveur
     

Vulnérabilités hors de notre champ d’intervention

  • Vulnérabilités reposant sur l’ingénierie sociale (notamment les attaques par hameçonnage visant des employés de Genetec)
  • Attaques par déni de service (DOS)
  • Tentatives physiques contre des biens ou des centres de données de Genetec
  • Attaque prenant le contrôle administratif d’une machine gérant des services
  • Non respect de bonnes pratiques sans répercussion concrète sur la sécurité (par exemple, en-têtes HTTP manquants, configuration SSL/TLS, etc.)

Divulgation de vulnérabilité

Dès réception de votre demande d’analyse de vulnérabilité, l’équipe de réponse aux incidents de sécurité des produits (PSIRT) de Genetec procède à son étude et à sa classification. Vous recevrez normalement un e-mail accusant réception du problème signalé dans un délai de deux jours ouvrables. Notre équipe peut vous contacter au cours du processus de remédiation pour établir le score CVSS (Common Vulnerability Scoring System) et confirmer que la solution a bien été déployée.

Le cas échéant, un identifiant CVE (vulnérabilités et expositions communes) sera délivré. La divulgation publique de la vulnérabilité se fera par le biais d’une note de publication et/ou d’un avis de sécurité pour les produits concernés.

Veuillez vous abstenir de communiquer publiquement toute information avant de coordonner cette divulgation.

Gestion des vulnérabilités

Vous avez trouvé une faille de sécurité ?

Signalez-la et nous nous en occuperons immédiatement

À savoir

Spécifications du signalement

Voici une liste des informations dont nous avons besoin pour enquêter sur votre signalement :

  • Indiquez l’URL et tous les paramètres concernés
  • Description du navigateur, du système d’exploitation et/ou de la version de l’application
  • Description des conséquences perçues (expliquez comment la vulnérabilité pourrait être exploitée)
  • Étapes détaillées de la reproduction du bug (le cas échéant, veuillez inclure des captures d’écran, les liens sur lesquels vous avez cliqué, les pages visitées, des vidéos, etc.)

Admissibilité aux récompenses

Voici comment bénéficier d’une récompense dans le cadre de notre Programme de détection de bugs :

  • Soyez le premier à signaler une vulnérabilité inconnue
  • Envoyez une description textuelle précise du signalement ainsi que les étapes permettant de reproduire la vulnérabilité
  • Ajoutez des pièces jointes telles que des captures d’écran ou du code de preuve de concept si nécessaire
  • Communiquez-nous directement le rapport de vulnérabilité et uniquement à nous
  • Les employés actuels de Genetec ne peuvent pas bénéficier des récompenses

Récompenses

Chaque vulnérabilité signalée est évaluée afin de déterminer le niveau de récompense correspondant. Les fourchettes de récompenses suivantes indiquent le montant maximum de la prime offerte pour les différentes catégories de problèmes. Ce guide donne un éclairage sur la manière dont les problèmes signalés sont récompensés en fonction de leurs répercussions. 
Tous les chiffres sont exprimés en dollars canadiens (CAD).

Critique

Les vulnérabilités suivantes sont considérées comme des problèmes critiques et peuvent donner lieu à une récompense allant jusqu’à 5 000 dollars canadiens (CAD).

  • Exécution de code à distance sur un serveur
  • Prise de contrôle totale du compte sans interaction
  • Obtention d’un accès en lecture ou en écriture à du code source privé
  • Exploitation d'une falsification des requêtes côté serveur (SSRF) entraînant des conséquences critiques
  • Vulnérabilités menant à la compromission du compte d’un utilisateur (avec une méthode permettant de contourner l’authentification à double facteur)
  • Bugs permettant de contourner les mécanismes d’authentification
  • Divulgation de données ultra-sensibles

 

La transparence est la clé de notre activité. Parcourez nos bulletins de sécurité

Signaler un bug

Vous avez trouvé une faille de sécurité touchant les produits Genetec ?

Produits
Partenaires
Ressources
Société
Nous contacter
© 2013-2024 Genetec Inc. Tous droits réservés.
Politique de confidentialité | Conditions d’utilisation | Mentions légales | Communications sécurisées | Responsabilité sociale d’entreprise | Préférences relatives aux cookies et aux courriels | Gestion des cookies