Passer au contenu principal
Logo Blackberry
Contexte du héros

Politique coordonnée de divulgation des vulnérabilités BlackBerry

BlackBerry s'engage à améliorer continuellement la sécurité de ses produits et s'efforce d'identifier et d'éliminer de manière proactive les vulnérabilités potentielles avant la mise sur le marché de ses produits.

Cependant, malgré tous nos efforts, des vulnérabilités peuvent parfois apparaître dans nos produits et sur nos sites Web. Nous reconnaissons et collaborons avec les personnes qui les découvrent et les signalent à BlackBerry afin que nous puissions y remédier.

Afin de collaborer efficacement avec ces contributeurs, nous avons rédigé la présentepolitique de divulgation coordonnée des vulnérabilités BlackBerryafin de promouvoir la collaboration et le signalement des vulnérabilités par des tiers.

Les points clés à retenir de cette politique sont les suivants :

  • Le processus de signalement des vulnérabilités inclut les produits actuellement pris en charge.

  • BlackBerry collaborera de bonne foi avec les personnes qui détectent, testent et signalent les vulnérabilités conformément à quelques directives standard.

  • L'équipe chargée de la réponse aux incidents liés à la sécurité des produits BlackBerry (BBPSIRT) collaborera avec les découvreurs afin de déterminer la marche à suivre pour une divulgation coordonnée de la vulnérabilité.

  • En cas de non-respect de lapolitique de divulgation coordonnée des vulnérabilités de BlackBerryet de toutes les lois applicables, BlackBerry se réserve le droit d'exercer tous les recours applicables.

Portée

Le processus de signalement des vulnérabilités concerne les produits actuellement pris en charge par BlackBerry, nos filiales et notre site Web.

Pour savoir si un produit BlackBerry est pris en charge, veuillez consulter lecycle de vie du support logiciel BlackBerry.

Qui devrait lire cette politique ?

Cette politique doit être lue par toutes les personnes qui découvrent, testent et signalent des vulnérabilités dans les produits pris en charge par BlackBerry ou sur les sites Web BlackBerry. 

Ce que nous attendons des chercheurs

Nous travaillerons en toute bonne foi avec les personnes qui testent et signalent les vulnérabilités conformément aux directives suivantes.

BlackBerry soutient pleinement les tests de sécurité qui : 

  • Est menée de manière à protéger la sécurité et la confidentialité de tous nos clients et partenaires.

  • Respecte l'intégrité concernant toutes les lois et réglementations applicables relatives aux activités de test de sécurité.

  • Respecte et adhère à ses accords existants avec BlackBerry et aux dispositions contractuelles qui traitent des droits de propriété intellectuelle de BlackBerry.

  • Effectue des recherches uniquement dans le cadre défini dans la présente politique.

  • Fournit à BlackBerry tous les détails relatifs au problème de sécurité au moment de la divulgation.

  • Permet à BlackBerry de prendre des mesures correctives avant de divulguer publiquement la vulnérabilité ou de la divulguer à d'autres tiers. 

Comment signaler une vulnérabilité

Si vous pensez avoir découvert une faille de sécurité dans un produit ou un site Web BlackBerry, veuillez nous en informer en contactant le PSIRT BlackBerry (BBPSIRT) à l'adressesecure@blackberry.com.

Lorsque vous signalez une vulnérabilité, veuillez fournir tous les détails nécessaires.

Cela comprend :

  • Le nom, la version et les détails de configuration du produit concerné,

  • Les noms de toutes les personnes ayant participé à la découverte de la vulnérabilité,

  • Une description de la vulnérabilité et de l'environnement dans lequel elle a été découverte,

  • Étapes détaillées pour reproduire la vulnérabilité, et

  • Captures d'écran ou vidéo pour démontrer la preuve de concept (PoC)

Ce que les chercheurs peuvent attendre du BBPSIRT

 Le BBPSIRT s'engage à :

  • Dans un délai de 3 jours ouvrables nord-américains, accuser réception du rapport du découvreur, ouvrir un dossier dans notre système de gestion des dossiers et désigner un gestionnaire de dossier chargé de suivre l'enquête.

  • Enquêter de manière approfondie sur le premier signalement d'une vulnérabilité unique dans un produit ou un site Web BlackBerry actuellement pris en charge.

  • Valider la vulnérabilité signalée. À ce stade, nous pouvons contacter la personne qui a découvert la vulnérabilité afin qu'elle nous fournisse des informations supplémentaires.

  • Communiquez avec la personne qui a signalé le cas, par l'intermédiaire du gestionnaire de cas, afin de confirmer l'existence de la vulnérabilité et, le cas échéant, le plan de remédiation associé.

  • Une fois la vulnérabilité corrigée, communiquez les détails à la personne qui l'a découverte, et

  • Reconnaître publiquement le découvreur sur notre site Web. Le BBPSIRT mentionnera le ou les découvreurs indiqués dans le rapport initial ou le ou les découvreurs avec lesquels le BBPSIRT travaille directement pour résoudre la vulnérabilité.

BBPSIRT Divulgation coordonnée et publication des vulnérabilités

Le BBPSIRT publie des avis de sécurité pour les produits BlackBerry pris en charge et collabore avec les découvreurs afin de déterminer la meilleure façon de divulguer la vulnérabilité de manière coordonnée, ce qui peut inclure la publication d'un avis de sécurité pour les produits BlackBerry pris en charge. Les avis de sécurité sont rendus publics et publiés sur notre site Web.

Les avis sont publiés une fois que les versions prises en charge des produits ont reçu des mises à jour logicielles corrigeant la vulnérabilité. Pour certains produits, tels que le RTOS QNX®, un avis privé sera communiqué à nos clients avant que l'avis ne soit rendu public et publié sur notre site Web. Cela permet de garantir que les clients utilisant ces produits ont la possibilité d'intégrer nos correctifs de vulnérabilité dans leurs logiciels et de publier leurs propres versions de maintenance logicielle.

Avertissement légal

BlackBerry prend très au sérieux ses obligations en matière de sécurité de ses produits et reconnaît et salue la valeur considérable que la communauté des chercheurs en sécurité apporte à ces efforts. BlackBerry s'efforcera toujours d'agir de bonne foi avec toute personne qui signale des vulnérabilités conformément aux directives établies par BlackBerry et àla politique coordonnée de divulgation des vulnérabilités de BlackBerry

Lorsque vous menez des activités de recherche en matière de sécurité liées aux produits et services BlackBerry, y compris lorsque vous soumettez un rapport sur une faille de sécurité BlackBerry, vous devez vous conformer à lapolitique de divulgation coordonnée des failles de sécurité BlackBerryet à toutes les lois applicables. Si nécessaire et/ou après enquête menée par BlackBerry, si nous déterminons que vous n'avez pas respecté cette politique ou toute loi applicable, BlackBerry se réserve le droit d'exercer tous les recours applicables, y compris ceux prévus par le droit civil et/ou pénal applicable, selon la juridiction.

BlackBerry se réserve en outre le droit de mettre à jour la présente politique à tout moment et sans préavis afin de garantir qu'elle reste pertinente et à jour compte tenu de l'évolution des technologies, des lois applicables et des pratiques commerciales de BlackBerry.

Cette version de lapolitique de divulgation coordonnée des vulnérabilités de BlackBerryremplace toutes les versions précédentes, et tous les aspects de cette politique sont susceptibles d'être modifiés sans préavis, ainsi que les exceptions au cas par cas. BlackBerry mettra tout en œuvre pour coordonner tous les niveaux d'engagement, mais ne peut garantir un niveau de réponse particulier.