Programme de prime à la sécurité

QNAP s’engage pour assurer la sécurité de l’information et s’est associé à la communauté de chercheurs de sécurité pour identifier et corriger les vulnérabilités afin de garder nos utilisateurs, nos produits et le réseau en sécurité. Pour remercier ceux qui contribuent à la sécurité, offre des récompenses via son programme de prime à la sécurité.

Champ d’application du programme

Notre programme de prime à la sécurité accepte uniquement les vulnérabilités de sécurité présentes dans les produits et services QNAP. Les vulnérabilités hors du champ d’application ne seront pas éligibles à une récompense. Cependant, des exceptions sont prévues pour les rapports de vulnérabilités hors du champ d’application mais critiques, en fonction de la situation.

Systèmes d’exploitation

Comprend QTS, QuTS hero et QuTScloud

En savoir plus
Applications

Comprend les applications développées par QNAP

En savoir plus
Services en cloud

Comprend les services cloud fournis par QNAP

En savoir plus

Comment signaler la vulnérabilité et obtenir des récompenses ?

Utilisez la clé publique de cryptage PGP ci-dessous pour chiffrer votre e-mail et l’envoyer à security@qnap.com. Nous vous contacterons dès que possible.

Format conseillé des rapports de vulnérabilité

Systèmes d’exploitation

Exemple de format
Applications

Exemple de format
Services dans le Cloud

Exemple de format

Clé de chiffrement PGP

Copier la clé de chiffrement PGP

Signaler une vulnérabilité

Qualifications des récompenses

Vous devez être le premier chercheur à signaler les vulnérabilités.
Vous ne devez pas avoir partagé publiquement des fichiers et/ou des détails relatifs à la vulnérabilité. Cela inclut des téléchargements vers des sites web accessibles au public.
L'équipe PSIRT du QNAP confirme que la vulnérabilité signalée est vérifiable, reproductible et qu'elle constitue un problème de sécurité valable.
Vous acceptez toutes les conditions générales du programme de prime à la sécurité.

La récompense peut être augmentée en fonction de :

Intégrité du format : Respectez les exemples de format et fournissez des informations détaillées quand vous signalez des vulnérabilités dans les systèmes d'exploitation, les applications ou les services cloud. Exemples de formats : Systèmes d’exploitation, Applications, Services cloud.
Étapes à reproduire : Illustrez vos étapes pour reproduire les vulnérabilités.
Description du problème : Présentez de manière claire et concise votre dépannage et votre approche.
Autres informations complémentaires : Incluez le code de test, les scripts et tout autre élément nécessaire à votre explication.
Données brutes des attaques (charge exploitée) : Un rapport sous forme de texte est nécessaire pour garantir l'intégrité des données. Les évaluations de vulnérabilité peuvent ne pas répondre aux attentes de QNAP PSIRT quand les charges utiles du réseau ont été fournies sous forme d'images uniquement.

FAQ

Comment la récompense de prime est-elle déterminée ?

La récompense est déterminée par la complexité de l’exploitation réussie de la vulnérabilité, le potentiel d’exposition, le pourcentage des utilisateurs et systèmes affectés.

Puis-je soumettre une preuve de faisabilité en vidéo ?

Si les vidéos peuvent nous aider à mieux comprendre la façon dont les vulnérabilités sont exploitées, le comité des récompenses QNAP pourra par conséquence augmenter la récompense. Veuillez noter qu’une documentation écrite doit être tout de même fournie (par ex. informations sur le produit, résumé de la vulnérabilité et étapes à suivre pour la reproduire) car elle nous aide à gérer le processus de divulgation de la vulnérabilité.

Quelles informations doivent être incluses dans un rapport de vulnérabilité ?

Un rapport de vulnérabilité doit au moins inclure les informations suivantes : le nom du produit, la version et le numéro de construction où la vulnérabilité existe ou l’emplacement de l’URL pour les services cloud.
Il doit également fournir un résumé des éventuelles menaces posée par la vulnérabilité, ainsi que des étapes de reproduction clairement détaillées. En outre, le rapport peut être accompagné d’une vidéo démontrant la vulnérabilité.

Comment puis-je savoir si ma soumission a été reçue par QNAP ?

Veuillez utiliser la clé PGP fournie par QNAP pour crypter le rapport et l’envoyer à security@qnap.com. Le système va répondre automatiquement avec un numéro de support technique, que vous pourrez utiliser pour vous renseigner sur l’état d’avancement de l’examen. L’équipe PSIRT QNAP contactera de manière proactive le chercheur afin de vérifier l’exhaustivité des informations soumises. Si toutes les informations requises ont été fournies, le chercheur recevra une lettre de confirmation de vulnérabilité par le PSIRT de QNAP dans un délai d’une semaine. La lettre inclura l’ID CVE attribué au problème de sécurité signalé. La proposition de récompense sera notifiée par e-mail quatre semaines suivant la date de la lettre de confirmation de la vulnérabilité. Si le chercheur est d’accord, QNAP devrait effectuer le paiement 12 semaines après avoir reçu la réponse de confirmation.

Abonnez-vous aux eNews de QNAP pour recevoir les dernières nouvelles sur la sécurité des produits

Abonnez-vous maintenant Analyse approfondie des Avis de sécurité

Systèmes d’exploitation

Récompenses jusqu’à 20.000 $ US

Récompense	Les rapports de vulnérabilité de sécurité confirmés et évalués peuvent recevoir des récompenses allant jusqu’à 20.000 $ US
Produits dans le champ d’application	Seuls les rapports concernant les versions officiellement publiées et récentes des produits, applications et services sont acceptés. QTS 5.2.0 (et ultérieures) QuTS hero h5.2.0 (et ultérieures) QuTScloud c5.1.0 (et ultérieures)
Restrictions	Le programme de prime à la sécurité est strictement limité aux vulnérabilités trouvées dans les produits et services QNAP. Les actions susceptibles d'endommager ou de nuire aux serveurs ou aux données de QNAP sont interdites. Les tests de vulnérabilité ne doivent pas violer les lois locales ou de Taïwan. Les rapports de vulnérabilité ne sont pas acceptés s’ils décrivent ou impliquent : Des attaques DoS (Refus de service) sur les serveurs QNAP ou des utilisateurs. Des tests de vulnérabilité susceptibles d’endommager les serveurs de QNAP ou des utilisateurs. Des attaques physiques ou de l’ingénierie sociale. La divulgation de vulnérabilités de sécurité avant l’approbation de QNAP. Des vulnérabilités non critiques dans des services ou produits obsolètes. Des vulnérabilités qui affectent uniquement des navigateurs Web obsolètes. La plupart des types d’attaques de force brute. Des vulnérabilités qui impliquent l’hameçonnage, la création d’un faux site web ou un comportement frauduleux. Des rapports d’analyse de vulnérabilité de sécurité qui n’incluent pas des détails sur l’impact des vulnérabilités. Des rapports sur les vulnérabilités révélées/non révélées sur des logiciels open source. Vulnérabilités dans les domaines d’enregistrement des utilisateurs (par exemple : sous-domaines myqnapcloud.com)

Récompense

Les rapports de vulnérabilité de sécurité confirmés et évalués peuvent recevoir des récompenses allant jusqu’à 20.000 $ US

Produits dans le champ d’application

Seuls les rapports concernant les versions officiellement publiées et récentes des produits, applications et services sont acceptés.

QTS 5.2.0 (et ultérieures)
QuTS hero h5.2.0 (et ultérieures)
QuTScloud c5.1.0 (et ultérieures)

Restrictions

Le programme de prime à la sécurité est strictement limité aux vulnérabilités trouvées dans les produits et services QNAP. Les actions susceptibles d'endommager ou de nuire aux serveurs ou aux données de QNAP sont interdites. Les tests de vulnérabilité ne doivent pas violer les lois locales ou de Taïwan.

Les rapports de vulnérabilité ne sont pas acceptés s’ils décrivent ou impliquent :

Des attaques DoS (Refus de service) sur les serveurs QNAP ou des utilisateurs.
Des tests de vulnérabilité susceptibles d’endommager les serveurs de QNAP ou des utilisateurs.
Des attaques physiques ou de l’ingénierie sociale.
La divulgation de vulnérabilités de sécurité avant l’approbation de QNAP.
Des vulnérabilités non critiques dans des services ou produits obsolètes.
Des vulnérabilités qui affectent uniquement des navigateurs Web obsolètes.
La plupart des types d’attaques de force brute.
Des vulnérabilités qui impliquent l’hameçonnage, la création d’un faux site web ou un comportement frauduleux.
Des rapports d’analyse de vulnérabilité de sécurité qui n’incluent pas des détails sur l’impact des vulnérabilités.
Des rapports sur les vulnérabilités révélées/non révélées sur des logiciels open source.
Vulnérabilités dans les domaines d’enregistrement des utilisateurs (par exemple : sous-domaines myqnapcloud.com)

Applications

Récompenses jusqu’à 10.000 $ US

Récompense	Les rapports de vulnérabilité de sécurité confirmés et évalués peuvent recevoir des récompenses allant jusqu’à 10.000 $ US
Produits dans le champ d’application	Seuls les rapports concernant les versions officiellement publiées et récentes des produits, applications et services sont acceptés. Le programme accepte uniquement les rapports des vulnérabilités de sécurité dans les applications suivantes : Centre d’assistance License Center Malware Remover myQNAPcloud Link Réseau et Switch virtuel Centre de notifications Certificat QTS SSL QuLog Center Moniteur de ressources Qsync Central HBS 3 Hybrid Backup Sync Qboost Multimedia Console Extension Media Streaming QVPN Service Virtualization Station Container Station QuFirewall Download Station Video Station Photo Station QuMagie
Restrictions	Le programme de prime à la sécurité est strictement limité aux vulnérabilités trouvées dans les produits et services QNAP. Les actions susceptibles d'endommager ou de nuire aux serveurs ou aux données de QNAP sont interdites. Les tests de vulnérabilité ne doivent pas violer les lois locales ou de Taïwan. Les rapports de vulnérabilité ne sont pas acceptés s’ils décrivent ou impliquent : Des attaques DoS (Refus de service) sur les serveurs QNAP ou des utilisateurs. Des tests de vulnérabilité susceptibles d’endommager les serveurs de QNAP ou des utilisateurs. Des attaques physiques ou de l’ingénierie sociale. La divulgation de vulnérabilités de sécurité avant l’approbation de QNAP. Des vulnérabilités non critiques dans des services ou produits obsolètes. Des vulnérabilités qui affectent uniquement des navigateurs Web obsolètes. La plupart des types d’attaques de force brute. Des vulnérabilités qui impliquent l’hameçonnage, la création d’un faux site web ou un comportement frauduleux. Des rapports d’analyse de vulnérabilité de sécurité qui n’incluent pas des détails sur l’impact des vulnérabilités. Des rapports sur les vulnérabilités révélées/non révélées sur des logiciels open source. Vulnérabilités dans les domaines d’enregistrement des utilisateurs (par exemple : sous-domaines myqnapcloud.com)

Récompense

Les rapports de vulnérabilité de sécurité confirmés et évalués peuvent recevoir des récompenses allant jusqu’à 10.000 $ US

Produits dans le champ d’application

Seuls les rapports concernant les versions officiellement publiées et récentes des produits, applications et services sont acceptés.

Le programme accepte uniquement les rapports des vulnérabilités de sécurité dans les applications suivantes :

Centre d’assistance
License Center
Malware Remover
myQNAPcloud Link
Réseau et Switch virtuel
Centre de notifications
Certificat QTS SSL
QuLog Center
Moniteur de ressources
Qsync Central
HBS 3 Hybrid Backup Sync
Qboost
Multimedia Console
Extension Media Streaming
QVPN Service
Virtualization Station
Container Station
QuFirewall
Download Station
Video Station
Photo Station
QuMagie

Restrictions

Les rapports de vulnérabilité ne sont pas acceptés s’ils décrivent ou impliquent :

Des attaques DoS (Refus de service) sur les serveurs QNAP ou des utilisateurs.
Des tests de vulnérabilité susceptibles d’endommager les serveurs de QNAP ou des utilisateurs.
Des attaques physiques ou de l’ingénierie sociale.
La divulgation de vulnérabilités de sécurité avant l’approbation de QNAP.
Des vulnérabilités non critiques dans des services ou produits obsolètes.
Des vulnérabilités qui affectent uniquement des navigateurs Web obsolètes.
La plupart des types d’attaques de force brute.
Des vulnérabilités qui impliquent l’hameçonnage, la création d’un faux site web ou un comportement frauduleux.
Des rapports d’analyse de vulnérabilité de sécurité qui n’incluent pas des détails sur l’impact des vulnérabilités.
Des rapports sur les vulnérabilités révélées/non révélées sur des logiciels open source.
Vulnérabilités dans les domaines d’enregistrement des utilisateurs (par exemple : sous-domaines myqnapcloud.com)

Services de cloud

Récompenses jusqu’à 5.000 $ US

Récompense	Les rapports de vulnérabilité de sécurité confirmés et évalués peuvent recevoir des récompenses allant jusqu’à 5.000 $ US
Produits dans le champ d’application	Seuls les rapports concernant les versions officiellement publiées et récentes des produits, applications et services sont acceptés. Le programme accepte uniquement les rapports des vulnérabilités de sécurité dans les domaines suivants : www.myqnapcloud.com (à l’exclusion des sous-domaines d’enregistrement des utilisateurs) organization.qnap.com (inclut les sous-domaines) amizcloud.qnap.com (inclut les sous-domaines) license.qnap.com (inclut les sous-domaines) www.qmiix.com (inclut les sous-domaines) account.qnap.com (inclut les sous-domaines) quwan.qnap.com (inclut les sous-domaines)
Restrictions	Le programme de prime à la sécurité est strictement limité aux vulnérabilités trouvées dans les produits et services QNAP. Les actions susceptibles d'endommager ou de nuire aux serveurs ou aux données de QNAP sont interdites. Les tests de vulnérabilité ne doivent pas violer les lois locales ou de Taïwan. Les rapports de vulnérabilité ne sont pas acceptés s’ils décrivent ou impliquent : Des attaques DoS (Refus de service) sur les serveurs QNAP ou des utilisateurs. Des tests de vulnérabilité susceptibles d’endommager les serveurs de QNAP ou des utilisateurs. Des attaques physiques ou de l’ingénierie sociale. La divulgation de vulnérabilités de sécurité avant l’approbation de QNAP. Des vulnérabilités non critiques dans des services ou produits obsolètes. Des vulnérabilités qui affectent uniquement des navigateurs Web obsolètes. La plupart des types d’attaques de force brute. Des vulnérabilités qui impliquent l’hameçonnage, la création d’un faux site web ou un comportement frauduleux. Des rapports d’analyse de vulnérabilité de sécurité qui n’incluent pas des détails sur l’impact des vulnérabilités. Des rapports sur les vulnérabilités révélées/non révélées sur des logiciels open source. Vulnérabilités dans les domaines d’enregistrement des utilisateurs (par exemple : sous-domaines myqnapcloud.com)

Récompense

Les rapports de vulnérabilité de sécurité confirmés et évalués peuvent recevoir des récompenses allant jusqu’à 5.000 $ US

Produits dans le champ d’application

Seuls les rapports concernant les versions officiellement publiées et récentes des produits, applications et services sont acceptés.

Le programme accepte uniquement les rapports des vulnérabilités de sécurité dans les domaines suivants :

www.myqnapcloud.com (à l’exclusion des sous-domaines d’enregistrement des utilisateurs)
organization.qnap.com (inclut les sous-domaines)
amizcloud.qnap.com (inclut les sous-domaines)
license.qnap.com (inclut les sous-domaines)
www.qmiix.com (inclut les sous-domaines)
account.qnap.com (inclut les sous-domaines)
quwan.qnap.com (inclut les sous-domaines)

Restrictions

Les rapports de vulnérabilité ne sont pas acceptés s’ils décrivent ou impliquent :

Des attaques DoS (Refus de service) sur les serveurs QNAP ou des utilisateurs.
Des tests de vulnérabilité susceptibles d’endommager les serveurs de QNAP ou des utilisateurs.
Des attaques physiques ou de l’ingénierie sociale.
La divulgation de vulnérabilités de sécurité avant l’approbation de QNAP.
Des vulnérabilités non critiques dans des services ou produits obsolètes.
Des vulnérabilités qui affectent uniquement des navigateurs Web obsolètes.
La plupart des types d’attaques de force brute.
Des vulnérabilités qui impliquent l’hameçonnage, la création d’un faux site web ou un comportement frauduleux.
Des rapports d’analyse de vulnérabilité de sécurité qui n’incluent pas des détails sur l’impact des vulnérabilités.
Des rapports sur les vulnérabilités révélées/non révélées sur des logiciels open source.
Vulnérabilités dans les domaines d’enregistrement des utilisateurs (par exemple : sous-domaines myqnapcloud.com)

Stockage

Réseau

Accessoires d’extension

Surveillance

NAS

Réseau

Surveillance

Champ d’application du programme

Systèmes d’exploitation

Applications

Services en cloud

Comment signaler la vulnérabilité et obtenir des récompenses ?

Format conseillé des rapports de vulnérabilité

Systèmes d’exploitation

Applications

Services dans le Cloud

Clé de chiffrement PGP

Qualifications des récompenses

La récompense peut être augmentée en fonction de :

FAQ