1. Introduction

BlueAir s'engage à protéger la sécurité de ses clients, de ses utilisateurs et de son entreprise. Si vous pensez avoir identifié un problème de sécurité ou une vulnérabilité sur l'un de nos sites web, appareils connectés ou logiciels (« produits Blueair »), nous vous remercions de nous le signaler au plus vite. 

Si nous sommes dûment informés de problèmes légitimes, nous ferons tout notre possible pour accuser réception de votre signalement de vulnérabilité, affecter des ressources à l'investigation et résoudre les problèmes potentiels dans les plus brefs délais. Que vous soyez utilisateur des produits Blueair, développeur de logiciels ou simple passionné de sécurité, vous jouez un rôle important dans ce processus.

2. Signaler un problème de sécurité ou une vulnérabilité

Si vous pensez avoir trouvé un problème de sécurité ou une vulnérabilité, veuillez soumettre vos conclusions en envoyant un e-mail à infosec@blueair.com avec pour objet « Problème de sécurité ». 

Veuillez fournir les versions spécifiques du produit et du logiciel qui, selon vous, sont affectées ; une description technique du comportement que vous avez observé et du comportement que vous attendiez ; les étapes nécessaires pour reproduire le problème ; et, le cas échéant, une preuve de concept ou un exploit.

Dans tous les cas, vous devez :

• Respectez notre vie privée. Contactez-nous immédiatement si vous accédez aux données d'autrui, personnelles ou autres. Cela inclut les noms d'utilisateur, mots de passe et autres identifiants. Vous ne devez ni enregistrer, ni stocker, ni transmettre ces informations.
• Agissez de bonne foi. Vous devez nous signaler la vulnérabilité sans condition.
• Collaborez avec nous. Signalez-nous rapidement toute découverte, en vous arrêtant dès la première vulnérabilité et en demandant l'autorisation de poursuivre les tests. Accordez-nous un délai raisonnable pour corriger la vulnérabilité avant de la divulguer publiquement.

Et vous ne devez pas :

• Exfiltrer les données. Utiliser plutôt une preuve de concept pour démontrer une vulnérabilité.
• Exploitez une vulnérabilité pour désactiver d’autres contrôles de sécurité.
• Effectuer de l'ingénierie sociale.
• Utilisez des scanners automatisés.

Nous n'offrons aucune compensation financière ni aucune autre forme de récompense pour les soumissions. De plus, nous ne rembourserons aucun frais que vous pourriez avoir engagé. 

5. Réponse et résolution

Nous nous engageons à accuser réception de votre signalement dans un délai de 3 jours ouvrés. Notre équipe de sécurité examinera rapidement le problème signalé et vous tiendra informé de l'évolution de la situation.

Une fois le problème vérifié, nous nous efforcerons de le résoudre. Nous vous remercions de votre patience et de votre coopération.

6. Protections juridiques

Cette politique est conçue pour être conforme aux bonnes pratiques des chercheurs en sécurité. Elle ne vous autorise pas à agir de manière contraire à la loi ou susceptible d'entraîner une violation par Blueair de ses obligations légales, notamment :

• Loi de 1990 sur l'utilisation abusive des ordinateurs
• Le règlement général sur la protection des données 2016/679 (RGPD) et la loi sur la protection des données de 2018

Dans la mesure compatible avec ses obligations légales, Blueair n'engagera pas de poursuites civiles ni ne poursuivra les chercheurs en sécurité qui signalent une vulnérabilité de sécurité sur un produit Blueair lorsque le chercheur a agi de bonne foi et conformément à la présente politique de divulgation.

8. Violations des politiques

Toute tentative d’exploiter une vulnérabilité de sécurité sans suivre ce processus de divulgation est strictement interdite et des poursuites judiciaires peuvent être engagées.

9. Mises à jour des politiques

Cette politique peut être mise à jour de temps à autre. Consultez régulièrement cette page pour obtenir les informations les plus récentes.

Merci de nous aider à maintenir la sécurité de nos appareils/produits IoT.