Sécurité

Comment WHOOP gère les vulnérabilités de sécurité

Chez WHOOP, nous avons pour mission de libérer le potentiel de chaque être humain. Nous sommes là pour améliorer la vie de nos membres, et non pour porter atteinte à leur vie privée. Comme toutes les entreprises proposant des appareils portables et des services de suivi de la santé, WHOOP gère les données personnelles et sensibles de ses membres. Nous prenons la vie privée de nos membres très au sérieux et sommes conscients que nous avons pour responsabilité de protéger la confidentialité de leurs données. Nous savons que des produits sécurisés sont indispensables pour conserver la confiance que nos membres accordent à WHOOP, et nous nous efforçons de créer des produits innovants qui améliorent la vie de nos membres.

Ce site inclut des informations destinées aux spécialistes et professionnels de la sécurité.

Si vous êtes membre WHOOP et que vous rencontrez des problèmes de sécurité avec votre compte, nous vous invitons à contacter les Services aux membres.

Signaler un problème de sécurité

WHOOP est disposé à recevoir des signalements de vulnérabilités liées à notre plateforme et à nos produits. Si vous pensez avoir découvert une vulnérabilité dans une plateforme ou un produit WHOOP, ou si vous avez un incident de sécurité à signaler, veuillez nous contacter à l’aide du formulaire de divulgation des vulnérabilités ci-dessous. À la réception de votre message, nous vous enverrons une réponse incluant un identifiant de suivi. WHOOP n’engagera aucune poursuite contre toute personne signalant de bonne foi une vulnérabilité selon l’une des méthodes énoncées ci-dessus.

Politique de divulgation de vulnérabilités WHOOP

Chez WHOOP, nous avons la conviction que le signalement de vulnérabilités doit aller dans les deux sens : WHOOP aussi bien que les spécialistes de la sécurité doivent agir de manière responsable. C’est pourquoi WHOOP s’engage à respecter un délai de divulgation de 90 jours (la « date limite »). Nous notifions immédiatement nos fournisseurs en cas de vulnérabilité, et partageons publiquement des détails avec la communauté de la sécurité à l’expiration des 90 jours, voire avant si le fournisseur sort un correctif. La date limite peut varier de différentes manières :

  • En cas d’expiration lors d’un week-end ou d’un jour férié aux États-Unis, la date limite sera remise au jour ouvré suivant.
  • Avant l’expiration du délai, si un fournisseur nous informe que la sortie d’un patch est prévue un jour donné dans les 14 jours suivant la date limite, nous retarderons le signalement au public jusqu’à la mise à disposition du patch.
  • Dans les cas où nous observerions une vulnérabilité jusque-là inconnue, et non corrigée, activement exploitée dans un logiciel (une faille « zero day »), nous jugeons qu’il est approprié d’agir de manière plus urgente, dans un délai de 7 jours. La raison de cette disposition spéciale est que plus d’appareils et de comptes sont compromis chaque jour où une vulnérabilité activement exploitée n’est ni publiquement divulguée ni corrigée. Sept jours constituent un délai serré susceptible d’être trop court pour permettre à certains fournisseurs de mettre à jour leurs produits, mais cela devrait être suffisant pour publier des conseils concernant les actions possibles afin de limiter les risques, par exemple la désactivation d’un service, la restriction d’un accès ou la prise de contact avec le fournisseur pour obtenir plus de renseignements. Ainsi, en l’absence d’un patch ou d’informations une fois le délai de 7 jours écoulé, nous travaillerons avec les spécialistes de la sécurité pour fournir des détails afin que les utilisateurs puissent prendre des mesures pour se protéger.

Nous nous réservons le droit d’avancer ou reporter la date limite en cas de circonstances extrêmes. Nous nous engageons à traiter tous les fournisseurs de manière strictement équitable. WHOOP s’attend à ce que cela soit réciproque.

Cette politique s’inscrit dans notre volonté d’améliorer les temps de réponse du secteur en cas de failles de sécurité, tout en permettant également plus de souplesse pour les bugs où la date limite serait légèrement dépassée. WHOOP encourage tous les spécialistes de la sécurité à adopter des délais de divulgation, quelle que soit leur forme, et les invite à utiliser cette politique s’ils la trouvent pertinente. Encourager la création de correctifs dans des délais raisonnables entraînera la réduction des fenêtres d’opportunité dont disposent les hackers pour profiter des vulnérabilités. Nous estimons que les politiques de divulgation des vulnérabilités comme celle-ci se traduisent par une meilleure sécurité globale pour les internautes.