1. Introduction

Un objectif important de l’équipe de réponse aux incidents de sécurité des produits (PSIRT) de Western Digital est de protéger la sécurité des utilisateurs finaux des produits Western Digital. La politique de divulgation des vulnérabilités de Western Digital encourage les chercheurs en sécurité et le grand public à agir de bonne foi et à effectuer des recherches et des divulgations responsables sur les vulnérabilités. Si vous pensez avoir découvert une vulnérabilité, des données exposées ou d’autres problèmes de sécurité, nous voulons vous entendre. Cette politique décrit les étapes à suivre pour nous signaler les vulnérabilités, clarifie la définition de la bonne foi de Western Digital dans le contexte de la découverte et du signalement de vulnérabilités potentielles, et explique ce que les chercheurs peuvent attendre de Western Digital en retour.

2. Définitions

1. Nous : Dans le cadre de cette politique, « nous » désigne l’ensemble de Western Digital et nos marques.
2. Vous/rapporteur de vulnérabilité : individu, organisation ou groupe limité qui divulgue un rapport de vulnérabilité.
3. Fenêtre de confidentialité : Si et lorsque nous acceptons votre rapport de vulnérabilité, notre objectif est de mener à bien les travaux de correction et de publier un correctif dans les 90 jours suivant l’accusé de réception initial. Si des renseignements supplémentaires sont nécessaires pour confirmer la vulnérabilité, nous vous contacterons. Si nous ne recevons pas de réponse après trois tentatives, nous pourrons clore le dossier, mais nous serons toujours heureux de recevoir de nouvelles communications.
4. Bulletins de sécurité : Nos bulletins de sécurité sont publiés ici :
   https://www.westerndigital.com/support/productsecurity
5. Canal de signalement officiel : Le canal de communication pour communiquer sur les divulgations de vulnérabilités : PSIRT@wdc.com.
6. Accusé de réception initial : Il s’agit de la date à laquelle nous répondons après avoir reçu votre rapport à l’équipe PSIRT avec un numéro de dossier et une date de divulgation de 90 jours.

3. Instructions pour le signalement des vulnérabilités

Pour signaler un problème de sécurité que vous pensez avoir découvert dans un produit ou un service Western Digital, veuillez envoyer un courriel à notre canal de signalement officiel. Les messages envoyés à d’autres adresses courriel peuvent entraîner un retard de réponse.

Renseignements requis :

• le ou les produit(s) et numéro(s) de version spécifiques;
• pour un ou des service(s), fournir le service spécifique ou l’URL, y compris une estampille temporelle du problème signalé;
• les étapes pour reproduire le problème, y compris une validation de concept.

Recommandé :

• fournir toutes les références pertinentes de CWE, le cas échéant;
• si vous pensez que la vulnérabilité est déjà divulguée publiquement ou connue de tiers.

Vous pouvez chiffrer les renseignements avant de les envoyer en utilisant notre clé PGP/GPG.

4. Divulgation coordonnée multipartite des vulnérabilités

Nous suivons les directives et pratiques de la FIRST pour la coordination et la divulgation multipartite des vulnérabilités.

5. Portée des produits et services

Nous acceptons les rapports de sécurité sur tous les produits basés sur disque dur et plateformes Western Digital ainsi que sur les services infonuagiques connexes qui ne sont pas en fin de mises à jour ou de prise en charge. Tous les produits et services qui sont en fin de mises à jour ou de prise en charge ne sont pas couverts par cette politique de divulgation des vulnérabilités.

6. Hors du champ d’application

Analyses de vulnérabilités sur les produits

• L’équipe PSIRT n’accepte pas les rapports d’analyse de vulnérabilités sur nos appareils, sans validation de concept.

Pour les rapports de produits basés sur la mémoire flash de Western Digital, veuillez consulter la politique de divulgation des vulnérabilités de SanDisk.

Les rapports de vulnérabilité sur notre présence sur Internet (c.-à-d. westerndigital.com) sont également les bienvenus. Veuillez envoyer ces rapports à websecurity@wdc.com.

Vulnérabilités Web acceptées :

• Les 10 principales catégories de vulnérabilité selon l’OWASP
• Les autres vulnérabilités avec une incidence démontrée

Les vulnérabilités Web non acceptées :

• Les vulnérabilités théoriques
• La divulgation de renseignements sur les données non sensibles
• La faible incidence ou la faible probabilité d’exploiter les vulnérabilités

7. Nos engagements

Lorsque vous travaillez en collaboration avec nous, conformément à cette politique :

• Actuellement, nous ne proposons pas de programmes permanents de chasse aux bogues. Nous n’honorons pas les demandes de paiement de primes, de matériel promotionnel ou de crédit en dehors du processus de publication de notre bulletin de sécurité.
• Nous accuserons réception de votre rapport de vulnérabilité dans les trois jours ouvrables suivant sa réception et nous vous fournirons un numéro de suivi.
• Nous enverrons une confirmation de l’acceptation de la vulnérabilité dans les 30 jours suivant notre accusé de réception initial, et nous inclurons une proposition de délai de correction. Si nous n’acceptons pas le signalement, nous fournirons notre raisonnement et nous resterons ouverts à de nouveaux renseignements sur celui-ci.
• Une fois que la vulnérabilité signalée aura été confirmée, nos ingénieurs travailleront à l’élaboration du ou des correctifs appropriés.
• Il arrive que certaines vulnérabilités ne puissent être résolues dans le délai de 90 jours. Si vous avez besoin de plus de temps que la fenêtre de confidentialité normale, nous travaillerons avec vous pour prolonger la fenêtre de confidentialité ou vous en informer autrement. La résolution peut dépendre de ce qui suit :
  
  • Des fournisseurs en amont avec des délais de résolution différents des nôtres.
  • Des changements architecturaux substantiels sont nécessaires pour remédier à la vulnérabilité.
  • Des exigences de validation complexes ou étendues résultant de modifications de microprogrammes de bas niveau, par exemple pour les vulnérabilités des microprogrammes de disques durs.
• Nous publions des bulletins de sécurité à notre propre discrétion, afin de fournir des renseignements sur la sécurité à nos clients et au public. Nous vous remercierons d’avoir trouvé et signalé la vulnérabilité dans le bulletin de sécurité correspondant et dans CVE si :
  • la vulnérabilité signalée affecte un produit Western Digital actuellement pris en charge;
  • nous apportons un changement de code ou de configuration en fonction du problème;
  • vous êtes la première personne à signaler le problème;
  • votre recherche est menée conformément à la présente politique; et
  • vous consentez à la reconnaissance.
• Nous ne publions pas d’avis pour les améliorations générales de sécurité et les correctifs de programmation défensive qui n’ont pas de répercussions avérées sur la sécurité.

8. Nos attentes

En participant de bonne foi à notre programme de divulgation des vulnérabilités, nous vous demandons ce qui suit.

• Respectez les règles, y compris la présente politique et tout autre accord pertinent. En cas d’incohérence entre la présente politique et toute autre condition applicable, les conditions de la présente politique prévaudront.
• Signalez rapidement toute vulnérabilité que vous avez découverte.
• Faites tout votre possible pour éviter les violations de la vie privée, la dégradation de l’expérience utilisateur, la perturbation des systèmes de production et la destruction des données pendant les tests de sécurité. En particulier :
  
  • Ne causez pas de dommages potentiels ou réels à nos utilisateurs, systèmes ou applications, y compris par des essais perturbateurs comme les dénis de service.
  • N’exploitez pas une vulnérabilité pour visualiser des données non autorisées ou corrompre des données.
  • N’effectuez pas d’attaques visant notre personnel, nos biens, nos centres de données, nos partenaires et nos sociétés affiliées.
  • N’effectuez pas de tentatives d’ingénierie sociale ou ne donnez pas une fausse impression de votre affiliation ou de votre autorisation à l’un de nos employés, entrepreneurs ou sociétés affiliées pour accéder à nos actifs.
    
  • Ne violez aucune loi et n’enfreignez aucun accord afin de découvrir des vulnérabilités.
    
• Effectuez uniquement des recherches dans le cadre de la portée du produit définie ci-dessus dans la section Portée des produits et services.
• Communiquez-nous les vulnérabilités de sécurité uniquement par le biais de notre processus de signalement des vulnérabilités.
  
• Gardez confidentiels les renseignements sur les vulnérabilités que vous avez découvertes jusqu’à ce que nous ayons résolu le problème et qu’un bulletin de sécurité soit publié. Ne divulguez pas de renseignements en dehors de la fenêtre de confidentialité.
• Si une vulnérabilité permet un accès involontaire aux données :
  
  • limitez la quantité de données auxquelles vous avez accès au minimum requis pour démontrer efficacement une preuve de concept; et
  • cessez les tests et soumettez immédiatement un rapport si vous rencontrez des données d’utilisateur pendant les tests, telles que des informations personnelle, des renseignements personnels sur la santé, des données de carte de crédit ou des informations exclusives.
• N’interagissez qu’avec les comptes de test que vous possédez ou avec les comptes pour lesquels vous avez l’autorisation explicite du titulaire du compte.

9. Avertissement

Nous pouvons mettre à jour la politique de divulgation des vulnérabilités de temps à autre. Veuillez consulter cette politique avant de soumettre des rapports de vulnérabilité. Les divulgations seront régies par la version de cette politique publiée au moment de la reconnaissance initiale.

10. Historique des changements

Publication : 17 mars 2025
Version : 2.0

11. Références

Cette politique est basée sur les lignes directrices présentées dans les documents ISO 29147 & 30111.
Merci à disclose.io pour son plan et son texte fournis sous Creative Commons CC-0, qui nous ont été très utiles pour créer notre politique de divulgation des vulnérabilités.