BlackBerry Politique coordonnée de divulgation des vulnérabilités

BlackBerry Politique coordonnée de divulgation des vulnérabilités

BlackBerry s'engage à améliorer en permanence la sécurité de ses produits et s'efforce d'identifier et de supprimer de manière proactive les vulnérabilités potentielles avant que ses produits ne soient mis sur le marché.

Cependant, malgré tous nos efforts, des vulnérabilités surviennent rarement dans nos produits et nos sites web. Nous reconnaissons et travaillons en collaboration avec les personnes qui les découvrent et les signalent à BlackBerry afin que nous puissions remédier à ces vulnérabilités.

Afin de collaborer efficacement avec ces contributeurs, nous avons élaboré la présente politique de divulgation coordonnée des vulnérabilités (BlackBerry )dans le but de promouvoir la collaboration et la notification des vulnérabilités par des tiers.

Les principaux enseignements de cette politique sont les suivants :

  • Le processus de signalement des vulnérabilités inclut les produits actuellement pris en charge.
  • BlackBerry travaillera en toute bonne foi avec les chercheurs qui testent et soumettent des vulnérabilités conformément à quelques lignes directrices standard.
  • BlackBerryLe BBPSIRT (Product Security Incident Response Team) travaillera avec ceux qui ont trouvé la faille afin de déterminer la voie à suivre pour une divulgation coordonnée de la faille.
  • En cas de non-respect de la politique de divulgation coordonnée des vulnérabilités deBlackBerry et de toutes les lois applicables, BlackBerry se réserve le droit d'exercer tous les recours possibles.

Champ d'application

Le processus de signalement des vulnérabilités concerne les produits actuellement pris en charge par BlackBerry, nos filiales et notre site web.

Pour déterminer si un produit BlackBerry est pris en charge, veuillez consulter le cycle de vie du support logicielBlackBerry .

Qui doit lire cette politique ?

Cette politique doit être lue par tous les chercheurs qui découvrent, testent et soumettent des vulnérabilités dans les produits pris en charge par BlackBerry ou les sites web BlackBerry . 

Ce que nous attendons des prospecteurs

Nous travaillerons de bonne foi avec les chercheurs qui testent et soumettent des vulnérabilités conformément aux lignes directrices suivantes.

BlackBerry soutient pleinement les tests de sécurité qui : 

  • est menée de manière à protéger la sécurité et la vie privée de tous nos clients et partenaires
  • Respecter l'intégrité de toutes les lois et réglementations applicables aux activités de test de sécurité.
  • Respecter et adhérer aux accords existants avec BlackBerry et aux dispositions contractuelles qui traitent des droits de propriété intellectuelle de BlackBerry.
  • Effectuer des recherches uniquement dans le cadre défini par la présente politique
  • Fournit à BlackBerry tous les détails du problème de sécurité au moment de sa divulgation.
  • Permet à BlackBerry de prendre des mesures correctives avant de divulguer publiquement la vulnérabilité ou de la divulguer à d'autres tiers. 

Comment soumettre une vulnérabilité

Si vous pensez avoir découvert une faille de sécurité dans un produit ou un site web BlackBerry , veuillez nous en informer en contactant le PSIRT BlackBerry (BBPSIRT) à l'adresse secure@blackberry.com.

Lorsque vous soumettez une vulnérabilité, veuillez fournir des informations complètes.

Il s'agit notamment de

  • Le nom, la version et les détails de configuration du produit concerné,
  • Les noms de tous les chercheurs qui ont participé à la découverte de la vulnérabilité,
  • Une description de la vulnérabilité et de l'environnement dans lequel elle a été découverte,
  • Les étapes détaillées pour reproduire la vulnérabilité, et
  • Captures d'écran ou vidéo pour démontrer la preuve du concept (PoC)

Ce que les chercheurs peuvent attendre du BBPSIRT

 Le BBPSIRT :

  • Dans un délai de trois jours ouvrables en Amérique du Nord, accuser réception du rapport de l'auteur de la découverte, ouvrir un dossier dans notre système de gestion des dossiers et désigner un gestionnaire de dossier pour suivre l'enquête.
  • Examiner à fond le premier cas de signalement d'une vulnérabilité unique dans un produit ou un site web actuellement pris en charge par BlackBerry .
  • Valider la vulnérabilité signalée. À ce stade, nous pouvons contacter l'auteur de la découverte pour lui demander des informations complémentaires.
  • Communiquer avec le découvreur, par l'intermédiaire du gestionnaire de cas, pour confirmer l'existence de la vulnérabilité et, le cas échéant, le plan de remédiation associé.
  • Une fois la vulnérabilité corrigée, communiquer les détails à l'auteur de la découverte, et
  • Reconnaître publiquement l'auteur de la découverte sur notre site web. Le BBPSIRT créditera le(s) découvreur(s) mentionné(s) dans le rapport initial ou le(s) découvreur(s) avec le(s)quel(s) le BBPSIRT travaille directement pour résoudre la vulnérabilité.

Publication coordonnée des divulgations et des vulnérabilités par le BBPSIRT

Le BBPSIRT émet des avis de sécurité pour les produits BlackBerry pris en charge et travaillera avec les découvreurs pour déterminer la meilleure façon de coordonner la divulgation de la vulnérabilité, ce qui peut inclure l'émission d'un avis de sécurité pour les produits BlackBerry pris en charge. Les avis de sécurité sont rendus publics et publiés sur notre site web.

Les avis sont publiés une fois que les versions prises en charge des produits ont publié des mises à jour logicielles qui corrigent la vulnérabilité. Pour certains produits, tels que QNX® RTOS, un avis privé sera donné à nos clients avant que l'avis ne soit partagé publiquement et publié sur notre site web. Ceci afin de s'assurer que les clients utilisant ces produits ont la possibilité d'incorporer nos correctifs de vulnérabilité dans leurs logiciels et de publier leurs propres versions de maintenance logicielle.

Avis de non-responsabilité

BlackBerry prend au sérieux son obligation de garantir la sécurité de ses produits, reconnaît et salue la valeur considérable que la communauté des chercheurs en sécurité apporte à ces efforts et s'efforcera toujours d'agir de bonne foi avec quiconque signale des vulnérabilités conformément aux lignes directrices établies par BlackBerry et à la politique de divulgation coordonnée des vulnérabilités (Coordinated Vulnerability Disclosure Policy) deBlackBerry

Lorsque vous effectuez des activités de recherche en matière de sécurité en rapport avec les produits et services BlackBerry , y compris lorsque vous soumettez un rapport de vulnérabilité de sécurité BlackBerry , vous devez vous conformer à la politique de divulgation coordonnée des vulnérabilitésBlackBerry et à toutes les lois applicables. Si, sur demande et/ou à la suite d'une enquête menée par BlackBerry, nous déterminons que vous n'avez pas respecté la présente politique ou toute loi applicable, BlackBerry se réserve le droit d'exercer tous les recours possibles, y compris ceux prévus par le droit civil et/ou pénal applicable, selon la juridiction concernée.

BlackBerry further se réserve le droit de mettre à jour cette politique de temps à autre sans préavis afin de s'assurer qu'elle reste pertinente et à jour par rapport à l'évolution des technologies, des lois applicables et des pratiques commerciales de BlackBerry .

La présente version de la politique de divulgation coordonnée des vulnérabilités ( BlackBerry ) remplace toutes les versions précédentes et tous les aspects de cette politique sont susceptibles d'être modifiés sans préavis, ainsi que de faire l'objet d'exceptions au cas par cas. BlackBerry s'efforcera de coordonner tous les niveaux d'engagement, mais ne peut garantir un niveau de réponse particulier.