Politique de divulgation des vulnérabilités
EGLO Leuchten GmbH

16 juillet 2024

Introduction

Cette politique de divulgation des vulnérabilités s'applique à toutes les vulnérabilités que vous envisagez de nous signaler. Nous vous recommandons de lire entièrement cette politique de divulgation des vulnérabilités avant de signaler une vulnérabilité et de toujours agir en conformité avec celle-ci. Nous apprécions ceux qui prennent le temps et les efforts pour signaler les vulnérabilités de sécurité. Cependant, nous n'offrons pas de récompense monétaire pour la divulgation de vulnérabilités.

Autorisation

Si vous identifiez et signalez de bonne foi les vulnérabilités tout en respectant cette politique, nous considérerons votre recherche comme autorisée et nous travaillerons avec vous pour comprendre et résoudre le problème rapidement.
EGLO Leuchten GmbH ne recommandera ni n'engagera de poursuites judiciaires liées à vos activités d'identification de vulnérabilités sur nos systèmes tant que vous suivez les directives de cette politique.

Domaine d'application

Cette politique donne aux participants la possibilité de rechercher des vulnérabilités potentielles dans les systèmes, équipements et produits de notre organisation, y compris

- AwoX Smart CONTROL
- Application AwoX HomeControl
- Produits intelligents

Avec de bonnes intentions ou pour transmettre toute information qu'ils découvrent sur une vulnérabilité.
Les vulnérabilités trouvées dans les systèmes des fournisseurs sont également exclues du champ d'application et doivent être signalées directement au fournisseur conformément à sa propre politique de divulgation (le cas échéant).

Reporting

Si vous pensez avoir découvert une faille de sécurité, veuillez nous soumettre votre rapport en utilisant le lien/e-mail suivant : privacy@awox.com

Dans votre rapport, veuillez inclure des détails sur :

•  La page où la vulnérabilité peut être observée
• Une brève description du type de vulnérabilité
• Étapes à suivre pour reproduire. Il doit s’agir d’une preuve de concept bénigne et non destructive. Cela permet de garantir que le rapport peut être classé rapidement et avec précision. Cela réduit également le risque de rapports en double ou d'exploitation malveillante de certaines vulnérabilités, telles que les rachats de sous-domaines.

Que pouvez-vous attendre de nous

Après avoir soumis votre rapport, nous y répondrons dans un délai d'un mois jours ouvrables et nous nous efforcerons de classé votre rapport dans un délai de 180 jours. Nous nous efforcerons également de vous tenir informés de nos progrès.

La priorité des mesures correctives est évaluée en examinant l'impact, la gravité et la complexité de l'exploit. Le tri ou le traitement des rapports de vulnérabilité peut prendre un certain temps. Vous êtes invités à vous renseigner sur le statut, mais vous devez éviter de le faire plus d'une fois tous les 14 jours. Cela permet à nos équipes de se concentrer sur la remédiation.

Nous vous informerons lorsque la vulnérabilité signalée sera corrigée et vous pourrez être invité à confirmer que la solution couvre la vulnérabilité de manière adéquate.

Une fois la vulnérabilité résolue, nous acceptons les demandes de divulgation de votre rapport. Nous aimerions unifier les conseils destinés aux utilisateurs concernés, alors continuez à coordonner la sensibilisation du public avec nous.

Lignes directrices

Vous ne devez PAS : 

• Violer toute loi ou réglementation applicable.
• Accéder à des quantités de données inutiles, excessives ou importantes.
• Modifier les données dans les systèmes ou services de l'Organisation.
• Utiliser des outils d'analyse invasifs ou destructeurs de haute intensité pour détecter les vulnérabilités.
• Tenter ou signaler toute forme de déni de service, par exemple submerger un service avec un volume élevé de demandes.
• Interrompre les services ou systèmes de l'Organisation.
• Soumettre des rapports détaillant les vulnérabilités non exploitables, ou des rapports indiquant que les services ne sont pas entièrement conformes aux « meilleures pratiques », par exemple des en-têtes de sécurité manquants.
• Soumettre des rapports détaillant les lacunes de la configuration TLS, par exemple la prise en charge des suites de chiffrement « faibles » ou la présence de la prise en charge de TLS1.0.
• Communiquer toute vulnérabilité ou détails associés par des moyens autres que ceux décrits dans le security.txt publié.
• Effectuer de l'ingénierie sociale, du « phishing » ou attaquer physiquement le personnel ou les infrastructures de l'Organisation. * Exiger une compensation financière pour révéler toute vulnérabilité.

Vous devez:

• Toujours respecter les réglementations en matière de protection des données et ne doit pas violer la vie privée des utilisateurs, du personnel, des sous-traitants, des services ou des systèmes de l'Organisation. Par exemple, vous ne devez pas partager, redistribuer ou ne pas protéger de manière adéquate les données obtenues à partir de systèmes ou de services.
• Supprimez en toute sécurité toutes les données récupérées au cours de votre enquête dès qu'elles ne sont plus nécessaires ou dans le mois suivant la résolution de la vulnérabilité, selon la première éventualité (ou tel que requis par la législation sur la protection des données).