Splashtop Inc., l’un des principaux fournisseurs de logiciels et de services d’accès à distance, s’engage à assurer la sûreté et la sécurité de ses clients. À cette fin, Splashtop formalise maintenant notre politique d’acceptation des rapports de vulnérabilité dans nos produits. Nous espérons favoriser un partenariat ouvert avec la communauté de la sécurité, et nous reconnaissons que le travail de la communauté est important pour continuer à assurer la sûreté et la sécurité de tous nos clients.

Nous avons élaboré cette politique pour refléter nos valeurs d’entreprise et pour respecter notre responsabilité légale envers les chercheurs en sécurité de bonne foi qui nous fournissent leur expertise.

Posture juridique

Splashtop Inc. ne s’engagera pas dans une action en justice contre les personnes qui soumettent des rapports de vulnérabilité via notre formulaire de rapport de vulnérabilité. Nous acceptons ouvertement les rapports pour les produits Splashtop actuellement répertoriés. Nous acceptons de ne pas intenter d’action en justice contre les personnes qui :

  • S’engager dans des tests de systèmes / recherche sans nuire à Splashtop ou à ses clients
  • Effectuer des tests de vulnérabilité dans le cadre de notre programme de divulgation des vulnérabilités
  • Contactez immédiatement Splashtop si vous rencontrez par inadvertance des données utilisateur. Ne visualisez pas, ne modifiez pas, n’enregistrez pas, ne stockez pas, ne transférez pas ou n’accédez pas aux données, et purgez immédiatement toute information locale lorsque vous signalez la vulnérabilité à Splashtop.
  • Respectez les lois de leur emplacement et de l’emplacement de Splashtop. Par exemple, violer des lois qui n’aboutiraient qu’à une réclamation de Splashtop (et non à une plainte pénale) peut être acceptable car Splashtop autorise l’activité (ingénierie inverse ou contournement des mesures de protection) pour améliorer son système.
  • S’abstenir de divulguer les détails de la vulnérabilité au public avant l’expiration d’un délai mutuellement convenu

Critères de préférence, de priorisation et d’acceptation

Nous utiliserons les critères suivants pour prioriser et trier les soumissions.

Ce que nous aimerions voir de votre part :

  • Des rapports bien rédigés en anglais auront plus de chances d’être résolus.
  • Les rapports qui incluent un code de preuve de concept nous permettent de mieux trier.
  • Les rapports qui incluent uniquement des vidages sur incident ou d’autres sorties d’outils automatisés peuvent recevoir une priorité inférieure.
  • Les rapports qui incluent des produits ne figurant pas sur la liste d’étendue initiale peuvent recevoir une priorité inférieure.
  • Veuillez inclure comment vous avez trouvé le bogue, l’impact et toute correction potentielle.
  • Veuillez nous faire savoir si vous souhaitez travailler avec nous pour divulguer une vulnérabilité. Nous ferons un effort honnête pour travailler avec vous sur la divulgation des vulnérabilités lorsque cela est possible.

Ce que vous pouvez attendre de nous:

  • Vous recevrez des commentaires sur votre soumission dans les 3 jours ouvrables suivant le triage de la soumission.
  • Après le triage, nous enverrons un échéancier prévu et nous nous engagerons à être aussi transparents que possible au sujet du calendrier d’assainissement ainsi que des problèmes ou des défis qui pourraient le prolonger.
  • Un dialogue ouvert pour discuter des problèmes.
  • Notification lorsque l’analyse de vulnérabilité a terminé chaque étape de notre examen.

Si nous ne sommes pas en mesure de résoudre les problèmes de communication ou d’autres problèmes, Splashtop peut faire appel à un tiers neutre (tel que CERT/CC, ICS-CERT ou le régulateur compétent) pour nous aider à déterminer la meilleure façon de gérer la vulnérabilité.

Comment soumettre une vulnérabilité

Pour soumettre un rapport de vulnérabilité à l’équipe de sécurité des produits de Splashtop, veuillez remplir les informations suivantes:

Ce document a été écrit à l’origine en anglais et peut avoir été traduit dans différentes langues. En cas de conflit entre la version anglaise et sa traduction, la version anglaise prévaudra toujours.

Version Notes

Version 1.1: Ajout d’une clause de non-responsabilité pour les conflits entre la version anglaise et les traductions (05/05/2021)

Version 1.0: Création d’une politique de divulgation responsable (05/12/2020)