Politique de divulgation coordonnée des vulnérabilités

Sonos s'engage à protéger les données et la confidentialité de ses clients en traitant le résultat des recherches de vulnérabilités de manière rapide et efficace. Nous recommandons aux chercheurs en sécurité de suivre cette politique de divulgation coordonnée lorsqu'ils signalent des vulnérabilités de sécurité. L'équipe de correction des vulnérabilités de sécurité sera chargée de recevoir et de traiter les signalements de vulnérabilités. Cette politique s'applique aux parties qui découvrent ou signalent des vulnérabilités dans nos produits. Cette politique repose sur/fait référence aux techniques employées dans la norme ISO de divulgation des vulnérabilités ISO/IEC 29147.

Exigences:

Dans le cadre de cette politique, nous entendons par «recherche de vulnérabilités» les activités dans lesquelles les chercheurs en sécurité:

• Notifient l'équipe de sécurité Sonos dès que possible après la découverte d'une vulnérabilité de sécurité réelle ou potentielle.
• S'efforcent de bonne foi d'éviter les violations de confidentialité, de préserver l'expérience de l'utilisateur, de prévenir les perturbations des systèmes de production et de se prémunir contre la destruction ou la manipulation des données. Les tests de sécurité qui enfreignent la loi peuvent donner lieu à une enquête criminelle ou judiciaire. Voir la section Questions juridiques et protections.
• Préservent la confidentialité des vulnérabilités pendant la période de divulgation coordonnée des vulnérabilités, tout en accordant à Sonos un délai raisonnable pour résoudre le problème avant de rendre la divulgation publique.

Couverture relative aux vulnérabilités:

Cette politique couvre toutes les vulnérabilités des produits interconnectés, des plateformes et des applications de contrôle mobiles de Sonos. Cela inclut les vulnérabilités dans le firmware, dans les applications mobiles et les services cloud.

Tous les services qui ne sont pas explicitement indiqués ci-dessus, comme les services connectés, sont exclus du champ d'application et ne sont pas autorisés à être testés par Sonos. En outre, les vulnérabilités découvertes dans les systèmes de nos revendeurs n'entrent pas dans le champ d'application de la présente politique et doivent être directement signalées au revendeur conformément à sa propre politique de divulgation (le cas échéant). Si vous n'êtes pas certain qu'un système entre bien dans le champ d'application, contactez-nous à l'adresse security@sonos.com. Remarque: les chercheurs en sécurité doivent consulter les politiques de divulgation des vulnérabilités externes de tout service tiers interconnecté afin de déterminer la portée des tests autorisés pour ces services.

Signalement de vulnérabilités:

Nous encourageons la divulgation responsable des vulnérabilités à notre équipe de correction des vulnérabilités de sécurité.
Les signalements peuvent être soumis de manière anonyme.
Les vulnérabilités peuvent être signalées en envoyant un e-mail à l'adresse security@sonos.com avec pour sujet «Signalement de vulnérabilités».

Nous encourageons vivement les chercheurs en sécurité à utiliser les canaux de communication chiffrés pour envoyer leurs signalements. Notre clé publique PGP se trouve ici.

Les signalements doivent comporter autant d'informations que possible. Les informations suivantes nous aideront à évaluer votre demande le plus rapidement possible:

• Description du problème et de son impact potentiel
• Produit(s) et version(s) de logiciel concernés
• Instructions sur la manière de reproduire le problème
• Démonstration de faisabilité (PoC, proof-of-concept)
• Mesures d'atténuation ou de réparation suggérées, le cas échéant

Que pouvez-vous attendre de notre part?

• Après avoir signalé une vulnérabilité, les parties externes peuvent s'attendre à recevoir un accusé de réception de leur signalement dans les 3 jours ouvrés.
• Nous tiendrons les parties externes informées du statut de leur signalement toutes les 2 à 3 semaines, tout au long du processus de traitement, et y compris lorsque la vulnérabilité aura été corrigée.
• Nous attribuerons un niveau de gravité à la vulnérabilité et la classerons par ordre de priorité en fonction du risque qu'elle représente pour les données et la confidentialité de nos clients.

Remerciements:

Bien que nous ne disposions pas actuellement d'un programme de récompense pour les chercheurs en sécurité externes, nous disposons d'un espace qui met à l'honneur les divulgations responsables. Il s'agit de la page de remerciement aux chercheurs en sécurité.

Questions juridiques et protections:

Nous nous engageons à protéger les personnes qui signalent des vulnérabilités de bonne foi. Nous n'engagerons pas de poursuites judiciaires à l'encontre des personnes qui signaleront des vulnérabilités conformément à la présente politique. Si la personne qui effectue le signalement ne demande pas explicitement à être mise à l'honneur, nous préserverons la confidentialité de son identité, à moins que la loi n'exige le contraire.

Conclusion:

Nous pensons qu'une divulgation responsable est essentielle pour protéger les données et la confidentialité de nos clients. Cette politique présente notre engagement à traiter les vulnérabilités de manière rapide et efficace. Nous encourageons toutes les parties à signaler les vulnérabilités à notre équipe de correction de vulnérabilités de sécurité, et à collaborer avec nous pour protéger nos clients.