Support de sécurité

Politique de divulgation de vulnérabilités de Brother PSIRT

 

 

Cette politique décrit la manière dont les clients et les personnes chargées de la détection des failles de sécurité signalent les vulnérabilités à Brother ("Brother", "nous", "notre" ou "nos") et à notre service d'assistance. Le terme PSIRT, qui fait référence au Product Security Incident Response Team en anglais, est utilisé dans cette politique pour désigner l'équipe chargée de gérer les incidents de sécurité liés aux produits.

Périmètre du rapport de vulnérabilité

Les vulnérabilités liées à nos produits, logiciels et services cloud font l'objet d'un rapport de vulnérabilité conformément à la présente politique.

Nous n'acceptons pas de rapport pour les raisons suivantes :

• Produits non pris en charge (versions d'essai, produits en fin de vie) ;
• Vulnérabilités non reproductibles ;
• Vulnérabilités divulguées ;
• Vulnérabilités non exploitables ;
• Vulnérabilités liées au volume ou au déni de service (à savoir, entre autres, par le simple fait de submerger notre service avec un volume élevé de demandes) ;
• Faiblesses de la configuration TLS (par exemple, prise en charge d'une suite de chiffrement "faible" ou présence d'une prise en charge TLS 1.0, sweet32, BEAST, etc.) ;
• Attaques d'ingénierie sociale ;
• Bogues de sécurité dans les sites web de tiers qui intègrent les produits ;
• Rapports indiquant que les produits ne sont pas entièrement conformes aux "meilleures pratiques", comme des en-têtes de sécurité manquants.

Signaler une vulnérabilité

Pour signaler une vulnérabilité liée à nos produits, logiciels et services cloud, veuillez utiliser le formulaire de rapport disponible sur notre site web au lien ci-dessous.
Signaler une faille de sécurité potentielle à Brother PSIRT (disponible uniquement en anglais)

Pour trier et hiérarchiser votre rapport, veuillez fournir les informations suivantes :

• Le nom du produit, la version du logiciel et la fonctionnalité / le protocole réseau où la vulnérabilité a été découverte ;
• L'impact potentiel si les vulnérabilités sont exploitées ;
• Une description détaillée des étapes à suivre pour reproduire la vulnérabilité.

Brother PSIRT est le point de contact pour les demandes concernant les vulnérabilités des produits. Veuillez noter que nous pourrions ne pas être en mesure de répondre à des demandes qui ne sont pas liées à des vulnérabilités.
Concernant les demandes non liées à des vulnérabilités, veuillez contacter votre centre d'appel Brother local ou le revendeur auprès duquel vous avez acheté le produit. Veuillez vous référer au Site web Brother pour les informations de contact.

Nous n'avons pas l'intention d'intenter d'action en justice contre les chercheurs en sécurité qui tentent de vérifier les failles ou vulnérabilités de sécurité dans nos produits, logiciels ou services cloud, tant que les conditions suivantes sont remplies :

• Les tests ou enquêtes sont menés de bonne foi dans le seul but d'identifier les failles ou vulnérabilités de sécurité, en prenant soin d'éviter de causer tout préjudice aux personnes ou à nous-mêmes ;
• Toute information dérivée de ces activités est principalement utilisée pour améliorer la sécurité ou la sûreté de nos produits ou de leurs utilisateurs.

Toutefois, même si ces activités ont pour but de vérifier les failles ou vulnérabilités en matière de sécurité, les activités suivantes sont interdites :

• Toute vérification équivalente à des attaques DoS ou DDoS, ou toute autre activité perturbant l'accès aux systèmes ou aux données, ou causant des dommages à ceux-ci ;
• Tests physiques tels que l'entrée non autorisée dans nos bureaux ou locaux, le talonnage, l'ingénierie sociale ou tout autre test de vulnérabilité non technique ;
• Tentatives d'accès ou de modification de comptes ou d'informations autres que les vôtres.

Mesures prises à la suite d'un signalement

Nous accuserons réception du rapport dans les 7 jours suivant la réception d'un rapport concernant une vulnérabilité pour nos produits, logiciels ou services cloud. Dans certains cas, un représentant de la société de vente Brother de votre région peut vous contacter au sujet du rapport. Pour faciliter cette communication, il se peut que nous partagions les informations personnelles que vous avez fournies au contact de signalement de vulnérabilité Brother PSIRT avec la société de vente Brother. Veuillez consulter notre politique de confidentialité pour savoir comment nous traitons les informations personnelles.

Les informations que vous communiquez seront gérées par Brother PSIRT, qui enquêtera sur le problème en collaboration avec notre service de développement. Une fois que nous aurons confirmé si la vulnérabilité existe dans notre produit, nous vous contacterons à nouveau à l'adresse e-mail que vous nous avez fournie.

Si la vulnérabilité signalée s'avère être un nouveau problème affectant nos produits, logiciels ou services cloud, les services concernés détermineront de manière exhaustive la politique et le calendrier de réponse, puis prendront les mesures appropriées.

Lorsque la vulnérabilité signalée est résolue, nous nous coordonnons avec la personne ayant effectuée le signalement et les parties concernées pour fixer une date de publication d'un avis de sécurité, afin que nos clients puissent prendre les mesures qui s'imposent. Dès que nous aurons achevé la préparation de la divulgation publique, nous publierons l'avis de sécurité sur notre site web.

Prime aux bogues

Nous n'offrons pas de programme de chasse aux bogues rémunéré, quel que soit le contenu du rapport.