Déclaration de vulnérabilité affectant Enki Home

🔐 Déclaration d'une faille de sécurité

Chez Enki Home, la sécurité de nos utilisateurs et de leurs données est une priorité absolue. Si vous avez identifié une vulnérabilité ou une faille de sécurité dans notre application mobile ou nos systèmes, nous vous invitons à nous en informer de la manière suivante :


🛡️  Politique de divulgation des vulnérabilités 

1. Périmètre de notre politique

Cette politique s’applique à toute vulnérabilité que vous pourriez découvrir sur nos systèmes ou produits.

🔍 Actifs concernés :

  • Notre gamme de produits IoT connectés (prises, ampoules, caméras, etc.)

  • Nos applications mobiles officielles (iOS et Android)

  • Notre plateforme cloud et les API associées accessibles publiquement

🚫 Vulnérabilités exclues du périmètre :
Afin de concentrer nos efforts sur les menaces les plus critiques, nous n’acceptons pas les rapports portant sur :

  • Les attaques par déni de service (DoS/DDoS)

  • Les résultats de scans automatisés sans preuve d'exploitabilité concrète

2. Règles d'engagement et "Safe Harbor" (Clause de non-agression)

Nous nous engageons à ne pas engager d’action en justice contre toute personne signalant de bonne foi une vulnérabilité, à condition que les règles suivantes soient respectées :

  • Vous agissez dans le but d'améliorer la sécurité, sans intention de nuire à notre entreprise ou à nos utilisateurs

  • Vous ne consultez, modifiez ou supprimez aucune donnée qui ne vous appartient

  • Vous nous accordez un délai raisonnable pour corriger la faille avant toute divulgation publique (principe de la divulgation coordonnée)

  • Vous n’effectuez aucune action susceptible de dégrader les performances de nos services (ex. : attaques DoS)


📧 Comment déclarer une faille

Notre engagement sur le traitement des vulnérabilités

Enki s'engage à traiter les vulnérabilités qui lui sont signalées de manière transparente et diligente. Nous avons défini quatre niveaux de criticité basés sur le système de notation CVSS (Common Vulnerability Scoring System) ou une évaluation interne équivalente.

Niveau de Criticité Description (Exemples) Accusé de réception et première évaluation Objectif de correction
Critique Permet une prise de contrôle à distance du produit, une fuite massive de données personnelles. 2 jours ouvrés 15 jours
Élevé Permet de contourner des mécanismes de sécurité importants, d'accéder à des données sensibles. 3 jours ouvrés 30 jours
Moyen Permet une dégradation du service, une fuite limitée de données non sensibles. 5 jours ouvrés 90 jours
Faible Failles de sécurité avec un impact mineur ou difficiles à exploiter. 10 jours ouvrés Prochaine mise à jour majeure

Veuillez envoyer un email à l'adresse suivante :
📬 security@enki-home.com

Dans votre message, merci d’inclure autant d’informations que possible pour nous permettre de comprendre et de reproduire le problème. Vos coordonnées seront traitées conformément au RGPD. Nous vous remercions d'utiliser le template ci-dessous pour structurer votre signalement.

Bonjour,

Je souhaite signaler une vulnérabilité de sécurité concernant l'un de vos produits. Voici les détails nécessaires pour identifier et reproduire le problème :

1. Informations sur le composant concerné
- Référence de l'objet : [Insérer la référence du produit ou du composant, par exemple : "Modèle XYZ-2023", "Firmware v1.2.3"]
- Type de box/Objet : [Préciser le modèle de la box ou l'environnement concerné, par exemple : "Box Connect", "Ampoule VLINK"]
- Version du logiciel/firmware : [Indiquer la version exacte, par exemple : "Firmware 2.0.1", "Application mobile v2.5.1"]

2. Description de la vulnérabilité
- Type de faille : [Par exemple : "Injection SQL", "Débordement de mémoire tampon", "Authentification faible"]
- Description détaillée : [Décrivez précisément la vulnérabilité, son mécanisme et les conditions requises pour l'exploiter]
- Preuve de concept (PoC) : [Si possible, fournissez des étapes pour reproduire la faille ou un exemple de code]

3. Impact potentiel
- Conséquences possibles : [Par exemple : "Accès non autorisé aux données utilisateur", "Exécution de code à distance", "Déni de service"]

4. Coordonnées (optionnel mais recommandé)
- Nom ou Pseudonyme : [Pour nos remerciements]
- Contact : [Votre e-mail]

5. Informations supplémentaires
- Date de découverte : [JJ/MM/AAAA]
- Autres détails pertinents : [Par exemple : "La faille a été testée sur plusieurs appareils similaires"]

📬 Réponse et suivi

Après réception de votre signalement, voici comment nous procédons :

  1. Accusé de réception de votre email en fonction de la criticité (voir tableau) .

  2. Évaluation de la faille selon les critères ci-dessus.

  3. Prise de contact pour demander des précisions si nécessaire.

  4. Correction priorisée selon le niveau de criticité.

  5. Notification dès que la faille est résolue (dans la mesure du possible).


🙏 Merci pour votre vigilance

Votre contribution à la sécurité de notre plateforme est précieuse. Nous remercions toutes les personnes qui nous aident à maintenir un haut niveau de sécurité pour l’ensemble de nos utilisateurs.


Articles associés

Envoyer une demande