Politique de réponse aux incidents de sécurité relative aux produits Aruba

Portée

L'équipe de réponse aux incidents de sécurité (SIRT) est chargée de réceptionner, suivre, gérer et divulguer les vulnérabilités affectant les produits Aruba. L’équipe SIRT collabore activement avec l'industrie, les organisations à but non lucratif, les organisations gouvernementales et les communautés de sécurité lorsque des vulnérabilités sont signalées. Une vulnérabilité de sécurité est définie comme une faiblesse dans un produit qui permet à un agresseur de compromettre la confidentialité, l’intégrité ou la disponibilité de ce produit, de l'infrastructure d’un client ou d’un système IT.

Les activités SIRT d’Aruba couvrent les produits fabriqués ou vendus par Aruba, société de Hewlett Packard Enterprise, sous la marque Aruba, incluant les solutions SaaS d’Aruba telles qu’Aruba Central. Seuls les produits et versions logicielles actuellement pris en charge et n’ayant pas atteint la date de fin de prise en charge telle qu’indiqué à la page Fin de vie d’Aruba sont couverts. Outre les produits portant la marque Aruba, l’équipe SIRT d’Aruba couvre également les produits couramment pris en charge et fabriqués par les filiales ou les acquisitions d’Aruba, ainsi que les commutateurs actuellement pris en charge et portant la marque HP ProCurve.

L‘équipe SIRT d’Aruba opère conformément à la norme ISO/CEI 29147:2018.

Contacter Aruba pour assistance à la sécurité

Produits Aruba – Renseignements sur la sécurité

De nombreux clients sont confrontés à des questions ou des problèmes concernant la sécurité des produits Aruba, notamment :

  • Questions générales sur la sécurité
  • Questions de configuration liées à la sécurité non couvertes dans le guide de renforcement
  • Questions relatives à la vulnérabilité de l’un de vos produits
  • Questions liées à des CVE précis
  • Questions liées aux résultats d’un scanner de vulnérabilité
  • Besoin d’assistance d’urgence

En général, votre premier recours pour ce genre de demande devrait être le centre d’assistance technique (ou TAC) d’Aruba :

Assistance d’urgence sur les commutateurs (incluant HP ProCurve)Assistance d’urgence pour tous les autres produits
+1 844 806-3425 (Amérique du Nord)+1 800 943-4526 ou +1 408 754-1200 (Amérique du Nord)
Informations de contact à l’extérieur de l’Amérique du NordInformations de contact à l’extérieur de l’Amérique du Nord

Produits n’appartenant pas à HPE Aruba

Pour signaler des vulnérabilités dans des produits n’appartenant pas à HPE Aruba, contactez HPE PSIRT sur https://www.hpe.com/h41268/live/index_e.aspx?qid=11503.

Sites Web d’Aruba, systèmes Digital Workplace ou incidents non associés aux produits

Envoyez un email à security@hpe.com.

Vulnérabilités suspectées sur des produits Aruba

Si vous soupçonnez l’existence d’une vulnérabilité dans un produit Aruba, un code ou des procédures POC (démonstration de faisabilité) et/ou disposez des détails ci-dessous qui indiquent une possibilité de compromission d’un produit ou de l’environnement d’Aruba, merci de contacter directement l’équipe SIRT d’Aruba.

Pour signaler de telles vulnérabilités à Aruba, il est préférable d'envoyer un email à sirt@arubanetworks.com en utilisant notre clé PGP publique (ID 0x458586D9) que vous trouverez sur les serveurs de clés publiques ou sur www.arubanetworks.com/fr/service-technique/public-key.

Dans votre email, merci d’inclure les éléments suivants :

  1. Description détaillée du problème ainsi qu’un contact technique capable de répondre à nos questions
  2. Liste du matériel Aruba concerné
  3. Versions logicielles Aruba concernées
  4. Informations détaillées permettant de reproduire le problème
  5. Journaux, vidages mémoires sur incident, captures d’écran et autres informations pertinentes

Si les critères ci-dessus sont respectés, l’équipe SIRT d’Aruba accusera réception de votre email dans les 24 heures qui suivent sa réception. Ensuite, nous vous demanderons de patienter cinq jours ouvrables, le temps de nous permettre de reproduire le problème signalé et préparer une réponse ou demander d’autres informations le cas échéant. Nous vous prions de bien vouloir attendre notre réponse avant de signaler le problème à d’autres personnes.

L’équipe SIRT d’Aruba décline toute responsabilité concernant tout système, réseau ou site Web de produits IT n’appartenant pas à HPE ou Aruba. Pour les produits et services respectifs, consultez les contacts ci-dessus.

L’équipe SIRT d’Aruba n’est pas habilitée à initier des réponses aux incidents ou des enquêtes forensiques sur les produits déployés dans les environnements clients, mais offrira son assistance dans le cas où une enquête déclenchée par un client venait à dévoiler une vulnérabilité précédemment inconnue.

Engagement d’Aruba en faveur de la sécurité et de l’intégrité des produits

Les pratiques d’Aruba concernant le développement des produits sont généralement conformes au modèle OpenSAMM d’OWASP et la plupart des produits Aruba sont conformes au profil de protection ISO/CEI 15408 (critères communs).

Les politiques de HPE et Aruba interdisent l’utilisation de fonctionnalités ou capacités qui encouragent la connexion d’appareils ou l’accès au réseau non autorisé, la divulgation des données sensibles des clients ou le contournement des fonctions de sécurité. Ces restrictions s’appliquent, entre autres, aux éléments suivants :

  • Méthodes d’accès non divulgué et non autorisé des appareils (portes dérobées)
  • Faiblesses intentionnelles des protocoles ou de la cryptographie
  • Comptes codés en dur ou non documentés et identifiants de comptes
  • Canaux de communication cachés
  • Fonctionnalités non documentées autorisant la copie ou le détournement du trafic réseau

Aruba considère de tels comportements de produits comme des vulnérabilités sérieuses et agira en conséquence en corrigeant ces vulnérabilités et en publiant des divulgations de vulnérabilité.

Engagement d’Aruba envers la communauté de sécurité

Aruba a régulièrement appuyé le travail de la communauté de sécurité et les chercheurs en sécurité et apprécie les efforts consentis par cette communauté pour améliorer la sécurité des produits technologiques. Aruba collabore activement avec la communauté de sécurité pour découvrir, vérifier et éliminer les vulnérabilités qui existent dans ses produits et encourage la communauté à prendre part au processus de divulgation.

Pour encourager la lutte contre les vulnérabilités en matière de sécurité, Aruba s’engage à ne pas poursuivre en justice toute personne ou groupe engagé en toute bonne foi dans des recherches légitimes liées à la sécurité et à la divulgation de vulnérabilités dans les produits ou services d’Aruba, à condition que ces personnes ou groupes respectent les directives suivantes :

  • Fournir toute les informations nécessaires à la reproduction des vulnérabilités.
  • Respecter la vie privée des clients, partenaires et utilisateurs d’Aruba. Si vous détenez des informations susceptibles de nuire à la vie privée, vous devez en informer Aruba puis les détruire.
  • Ne pas modifier les informations qui ne vous appartiennent pas.
  • Laisser à Aruba suffisamment de temps pour corriger et divulguer les vulnérabilités avant de publier toute information y afférente. L’équipe SIRT d’Aruba est disposée à fournir des mises à jour sur les rapports de vulnérabilité sur demande.
  • Ne pas enfreindre les lois.

En particulier :

  • Aruba ne considère pas que les recherches légitimes en matière de sécurité, entreprises de bonne foi, violent la Convention de licence d’utilisation d’Aruba, même si ces recherches impliquent une rétro-ingénierie de la technologie d’Aruba.
  • Aruba n'initiera pas de procédure d'allégation de violation des droits d'auteur dans le cadre du « Digital Millennium Copyright Act » contre toute recherche entreprise de bonne foi dans le domaine de la sécurité, même si cette recherche implique le contournement des mécanismes de sécurité associés aux produits d’Aruba.
  • Aruba considérera l’accès par un chercheur de bonne foi à un produit couvert par l’équipe SIRT d’Aruba comme un accès autorisé ou conforme à la loi « Computer Fraud and Abuse Act », à condition que le dit chercheur respecte cette politique.

Aruba reconnaîtra publiquement l’apport des chercheurs de sécurité lors de la publication de ses avis de sécurité. Certains produits Aruba font partie d’un programme de prime aux bogues géré par Bugcrowd et offrant des récompenses aux chercheurs qui choisissent d’y participer. Ces récompenses seront offertes même si, dans un premier temps, un chercheur signale une vulnérabilité directement à Aruba, puis la signale ensuite via le programme de prime aux bogues.

Durant les recherches de sécurité légitimes, les produits Aruba peuvent être rendus inutilisables, volontairement ou involontairement. Aruba aidera les chercheurs, dans le cadre d’efforts commerciaux raisonnables, à réparer ces produits sur une base ponctuelle.

Processus de réponse aux vulnérabilités de sécurité d’Aruba

Les rapports envoyés à l’équipe SIRT d’Aruba signalant la possibilité d’une vulnérabilité liée à des produits Aruba sont examinés par des membres de l’équipe SIRT. La description écrite de cette vulnérabilité est examinée, de même que toute information fournie à l’appui. Dans certains cas, il est nécessaire de demander des informations supplémentaires à l’entité ayant envoyé le rapport avant d’entamer le processus de revue des documents.

L’équipe SIRT d’Aruba s’appuie sur un processus de revue et analyse rigoureux pour qualifier et catégoriser au mieux les vulnérabilités signalées. Pour ce faire, nous exigeons des informations techniques et des descriptions de scénarios détaillées. Une fois que l’équipe SIRT a terminé l’évaluation, elle lui attribue un niveau de sévérité. Elle contacte ensuite la personne concernée pour l’informer de l’état de l’enquête et du niveau de sévérité de la vulnérabilité, le cas échéant. L’équipe SIRT travaillera de concert avec cette personne pour établir un calendrier concernant la résolution du problème et la communication avec les clients et le public.

L’équipe SIRT d’Aruba est responsable de la gestion du processus de développement et distribution des solutions et correctifs liés à la vulnérabilité. Durant la procédure de notification, elle s’occupe de tous les aspects relatifs à la prise en charge des clients. Une fois les solutions et correctifs prêts à être distribués, l’équipe SIRT publie les avis sur son site Web et les met à la disposition des clients.

Les informations reçues par l’équipe SIRT d’Aruba sont confidentielles et leur accès est donc mis à la disposition d’un groupe restreint de spécialistes Aruba chargés d’établir un plan d’action complet pour résoudre le problème. En outre, l’équipe SIRT demandera à la personne ayant signalé la vulnérabilité de traiter toute information s’y rapportant en toute confidentialité et de laisser suffisamment de temps à Aruba pour fournir aux clients des plans d’action et des options de mitigation, et mettre au point un processus de divulgation public. Le cas échéant, Aruba reconnaîtra publiquement l’apport de la personne ayant signalé la vulnérabilité lors de la publication de son avis de sécurité.

Directives relatives à la divulgation

Aruba gère et divulgue les vulnérabilités conformément à la norme ISO/CEI 30111.

Généralement, la divulgation publique des vulnérabilités n’a lieu que lorsque des correctifs permanents sont disponibles. Si la vulnérabilité se produit dans plusieurs branches de logiciel ou dans plusieurs produits logiciels, Aruba publiera des avis une fois la mise à jour de la dernière branche ou du dernier produit terminée et publiée. Toutefois, si la société Aruba découvre que des informations liées à une vulnérabilité non publiée ont été rendues publiques, elle publiera immédiatement un avis de vulnérabilité ainsi que des détails sur toute possibilité de contournement ou de défense. Si une vulnérabilité au sein d’un logiciel open-source fait l’objet de discussions publiques, Aruba publiera immédiatement un avis de sécurité une fois l’effet de cette vulnérabilité sur un produit Aruba déterminé.

Le premier avis de vulnérabilité consistera en informations générales, solutions de contournement et mesures prises pour résoudre cette vulnérabilité. L’avis public est la seule information qu’Aruba fournira au cours des 60 premiers jours. Au-delà de cette date, Aruba pourra, à sa seule discrétion, rendre publics tout les détails concernant cette vulnérabilité. Les chercheurs de sécurité souhaitant publier les détails de la vulnérabilité d’Aruba (par exemple dans un blog ou dans le cadre d’une conférence) seront priés de respecter le délai de 60 jours suivant la publication de l’avis. Nous demandons aux intéressés de bien vouloir confirmer à Aruba leur intention de respecter ce délai.

En aucun cas la divulgation ne saurait être sélective. Aruba s’engage à informer tous les clients en même temps des vulnérabilités. Aucun client, partenaire ou tiers d’Aruba ne pourra recevoir de notification à l’avance ou d’informations supplémentaires concernant une vulnérabilité. Les partenaires OEM d’Aruba sont généralement notifiés d’une divulgation publique trois jours à l’avance afin de permettre à leurs équipes de sécurité de se préparer à informer leurs propres clients. Les partenaires OEM d’Aruba ont formellement accepté de coordonner les notifications de vulnérabilité avec Aruba afin d’alerter tous les utilisateurs en même temps. Les employés d’Aruba qui sont en contact direct avec les clients (TAC, SE, etc.) reçoivent un exemplaire de l’avis 18 heures avant sa divulgation publique, mais ne sont pas autorisés à en partager le contenu avant sa publication officielle. Les partenaires OEM et les employés en contact direct avec les clients reçoivent uniquement un exemplaire de l’avis public. Ils ne disposent pas d’informations complètes sur une vulnérabilité.

Réception d’avis de sécurité

Les avis de sécurité sont publiés sur le site Web d’Aruba SIRT. Ce site comprend les tout derniers avis ainsi qu’une archive des avis précédents.

Aruba propose un service de notification d’avis de sécurité par email. Pour vous inscrire à ce service, rendez-vous au portail libre-service. Ce service gratuit est à la disposition du public et est offert sur la base des meilleurs efforts via un fournisseur de listes de diffusion commerciales. Aruba peut proposer d’autres canaux de notification par le biais d’offres de services de pointe, mais n’offrira en aucune circonstance un service de « notifications à l’avance ».

À propos de ce document

Ce document est fourni « en l’état » et n’offre aucune garantie, y compris la garantie de valeur marchande ou d’adaptation à un usage particulier. L’usage que vous faites des informations fournies dans ce document ou dans les matériaux associés à ce document est à votre propre risque. Aruba se réserve le droit de modifier ou mettre à jour ce document à tout moment et sans préavis.