Politique de divulgation de la vulnérabilité

Dernière mise à jour : 5 septembre 2019

Kraken Security Labs effectue régulièrement des recherches sur la sécurité des applications, du matériel et des produits couramment utilisés. La recherche est faite afin d’éduquer et de protéger les utilisateurs de ces services et produits. Cette politique explique comment Kraken Security Labs gère la divulgation responsable des vulnérabilités lorsque nous découvrons des failles de sécurité dans des produits et services tiers.

Kraken Security Labs informera le fournisseur concerné d’une faille de sécurité dans ses produits et/ou services. La première tentative de contact se fera par l’intermédiaire des contacts appropriés ou des mécanismes officiels répertoriés sur le site Web du fournisseur. Si ces informations de contact ne sont pas disponibles, Kraken Security Labs fera de son mieux pour trouver un moyen de contact approprié. Une fois qu’un moyen de contact formel ou approprié a été trouvé, les informations pertinentes sur la vulnérabilité seront transmises de manière sécurisée au fournisseur.

Si le fournisseur refuse de reconnaître la notification initiale dans les cinq (5) jours ouvrables, Kraken Security Labs établira un deuxième contact avec le fournisseur. Si Kraken Security Labs épuise tous les moyens ci-dessus pour contacter le fournisseur, Kraken Security Labs peut émettre un avis public révélant ses conclusions quinze (15) jours ouvrables après la tentative de contact initiale.

Si une réponse du fournisseur est reçue dans le délai indiqué ci-dessus, Kraken Security Labs demandera au fournisseur de spécifier le délai souhaité pour la correction. Kraken Security Labs accordera au fournisseur jusqu’à quatre-vingt-dix (90) jours calendaires pour remédier à cette vulnérabilité grâce à un correctif. À la fin de la date limite ou plus tôt (si averti par le fournisseur), si la vulnérabilité a été corrigée ou si le fournisseur ne répond pas ou est incapable de fournir une déclaration raisonnable expliquant pourquoi la vulnérabilité n’est pas corrigée, Kraken Security Labs publiera un avis accessible au public comprenant des recommandations afin de protéger les utilisateurs finaux.

Kraken Security Labs mettra tout en œuvre afin de travailler avec les fournisseurs pour s’assurer qu’ils comprennent les détails techniques et la gravité d’une faille de sécurité rapportée. Si un fournisseur de produit n’est pas en mesure ou ne veut pas corriger une faille de sécurité particulière, Kraken Security Labs peut proposer de travailler avec ce fournisseur afin de divulguer publiquement la faille ainsi que des solutions de contournement efficaces.

Dans l’éventualité où Kraken Security jugerait approprié d’alerter immédiatement le grand public d’une vulnérabilité liée au risque ou à la sécurité de l’utilisateur final d’un produit ou d’un service, Kraken Security Labs en informera simultanément le fournisseur et le grand public. En association avec le fournisseur, Kraken Security Labs répertoriera les facteurs utilisés afin de décider s’il doit immédiatement publier ses conclusions.