Keenetic Product Security Advisory

Émetteur et portée : l'entité émettrice de la présente Politique est Keenetic GmbH, Berliner Straße 300b, 63067 Offenbach am Main, Allemagne. Cette Politique est établie comme la politique normative régissant l'ensemble des entités Keenetic dans le monde.

En tant que chercheur en sécurité ou rapporteur de vulnérabilité, votre travail est essentiel pour renforcer la sécurité des produits et des infrastructures numériques. Nous avons élaboré cette politique de divulgation coordonnée des vulnérabilités (« CVD ») afin de garantir que vos constatations sont traitées avec respect, gérées de manière responsable et rapidement prises en compte. Elle précise la manière dont Keenetic (dénommée « Keenetic GmbH », « nous », « notre ») répondra à vos rapports, les garanties auxquelles vous pouvez vous attendre et les étapes conduisant à une procédure de divulgation réussie.

En outre, nous souhaitons que vos contributions soient valorisées. Nous vous encourageons à participer au programme de Bug Bounty de Keenetic, qui offre des récompenses financières afin d'exprimer notre reconnaissance et de favoriser une collaboration durable.

En participant à ce processus, vous contribuez non seulement à protéger les utilisateurs et les organisations, mais vous rejoignez également une communauté où votre expertise est reconnue et récompensée. Ensemble, nous pouvons rendre les produits Keenetic plus sûrs, instaurer la confiance et renforcer l'écosystème numérique.

Ⅰ. Portée de la politique CVD : ce que nous considérons comme une vulnérabilité valide

Une vulnérabilité valide, au sens de la présente politique, s'entend d'une faiblesse, anomalie ou problème de sécurité affectant directement l'un des produits ou l'infrastructure de Keenetic et pouvant être exploitée.

Pour être considéré comme un rapport valide, l'information divulguée ne doit pas déjà être publique, ce qui garantit ainsi que le rapport apporte un élément nouveau et exploitable au processus de sécurité. En outre, les rapports générés uniquement par des outils ou des analyses automatisés sans documentation probante suffisante ne sont pas jugés adéquats, car ils ne fournissent pas les éléments nécessaires à une analyse et à une remédiation pertinentes d'une vulnérabilité valide. Chaque rapport devrait idéalement contenir des détails à l'appui. Cela nous aide à nous concentrer sur les problèmes réels et à y répondre plus rapidement.

Ⅱ. Comment signaler une vulnérabilité

Lorsque vous découvrez une vulnérabilité valide, soumettez un rapport en utilisant les canaux suivants.

E-mail : vous pouvez nous écrire à security@keenetic.com afin d'assurer une coordination et un suivi appropriés.

Formulaire Web : nous mettons à disposition un formulaire sécurisé de soumission sur notre page de divulgation des vulnérabilités : https://keenetic.com/security/anonymous-reporting-form. Ce formulaire prend en charge les signalements anonymes. Vous n'êtes pas tenu(e) de fournir des informations personnelles pour soumettre un rapport. Toutefois, gardez à l'esprit qu'en cas de signalement anonyme, nous ne pourrons pas vous poser de questions de suivi, ce qui peut limiter notre capacité à enquêter sur le problème. Le formulaire Web est disponible en anglais et vous guide pour inclure les informations essentielles dont nous avons besoin.

Security.txt : nous maintenons un fichier keenetic.com/security.txt sur notre site Web qui énumère nos contacts et préférences en matière de divulgation de vulnérabilités. Les rapporteurs peuvent se référer à ce fichier pour obtenir des informations à jour sur la manière de nous joindre.

Lors de la soumission d'un rapport, veuillez inclure autant de détails techniques que possible. Cela nous aide à hiérarchiser et corriger le problème plus rapidement. Nous suggérons de fournir :

• Une description de la vulnérabilité et de son impact potentiel. Que pourrait réaliser un acteur malveillant ? Quels aspects de confidentialité/intégrité/disponibilité sont touchés ? Quel pourrait être le système affecté dans l'infrastructure informatique de Keenetic (p. ex. systèmes d'entreprise de Keenetic, système d'exploitation, application, surveillance et gestion à distance, Cloud et compte Keenetic) ?

• Les noms de produits, versions et configurations spécifiques affectés. (Pour les sites Web ou services, inclure les URL ou les adresses IP ; pour le matériel ou les logiciels, inclure les références de modèle ou les numéros de version.)

• Étapes pour reproduire le problème. P. ex., quelles commandes, entrées ou actions déclenchent la vulnérabilité. Des captures d'écran ou un code de preuve de concept (PoC) sont très utiles.

• Le cas échéant, toute remédiation suggérée ou référence à des correctifs (facultatif mais apprécié).

• Vos coordonnées (nom ou pseudonyme et un moyen de contact sécurisé) si vous souhaitez une réponse. Vous pouvez signaler anonymement, mais nous ne pourrons pas vous contacter pour obtenir des précisions ni fournir des mises à jour d'état.

Informations facultatives : le rapporteur peut fournir volontairement des coordonnées pour la coordination, mais n'est pas tenu de soumettre des informations personnelles identifiables. Vous pouvez utiliser notre formulaire anonyme basé sur le site Web.

Ⅲ. Ce que nous attendons de vous - Code de conduite

Nous ne récompensons et ne reconnaissons les rapporteurs au titre de la présente politique CVD que s'ils respectent des normes élevées d'intégrité et de comportement responsable lors de la découverte et du signalement de vulnérabilités. Par conséquent, les comportements suivants ne sont pas tolérés :

• Tests de bonne foi : les rapporteurs ne doivent effectuer que des tests non perturbateurs et nécessaires pour confirmer l'existence de la vulnérabilité (preuve de concept). Ils ne doivent pas intentionnellement compromettre des données d'utilisateurs, perturber des services ou endommager des systèmes.

• Aucune exploitation au‑delà des tests : l'exploitation active d'une vulnérabilité au‑delà des tests initiaux de preuve de concept est strictement interdite. En particulier, n'abusez pas de la vulnérabilité pour compromettre des données, modifier des configurations, pivoter vers d'autres systèmes ou accéder de manière persistante à nos systèmes. Le déclenchement du problème pour en prouver l'existence est suffisant. N'extrayez pas, par exemple, plus de données que nécessaire pour démontrer la faille. Si vous rencontrez des informations sensibles (p. ex., données personnelles d'utilisateurs, éléments propriétaires), cessez les tests et signalez‑les immédiatement, sans divulguer ni conserver ces informations.

• Pas d'ingénierie sociale ni d'attaques physiques : n'utilisez pas de techniques d'ingénierie sociale (e-mails d'hameçonnage, prétextes téléphoniques, etc.) contre nos employés ou systèmes, et n'effectuez aucun test de sécurité physique (tel que tenter d'entrer dans nos bureaux ou centres de données). Cette politique se limite aux vulnérabilités techniques de nos produits et de notre infrastructure et exclut les vecteurs d'attaque sociaux et physiques.

• Pas de déni de service ni « d'attaques par force brute » : abstenez‑vous d'effectuer des attaques DoS/DDoS ou tout test susceptible de dégrader la disponibilité de nos services pour les utilisateurs, ainsi que des « attaques par force brute ». Nous souhaitons éviter toute perturbation pour nos clients.

• Pas d'attaques visant des tiers ou des systèmes publics : ne ciblez pas de vulnérabilités dans des services ou produits tiers que nous utilisons (veuillez plutôt en informer directement ces fournisseurs). De même, ne testez pas des systèmes qui ne nous appartiennent pas ou que nous n'exploitons pas. Si, par inadvertance, vous accédez à des données ou à des systèmes d'autres parties au cours de vos recherches, informez‑nous et cessez immédiatement toute action. Ne compromettez ni ne manipulez de données de tiers au cours de vos recherches.

• Confidentialité et usage des informations : les rapporteurs doivent garder confidentiels les détails de la vulnérabilité et ne doivent pas divulguer publiquement, vendre ou autrement diffuser du code d'exploitation ou des détails techniques permettant l'exploitation tant que Keenetic n'a pas publié un avis public ou autrement autorisé la divulgation. Cela ne restreint pas le rapporteur de notifier les autorités compétentes, le CSIRT national ou les forces de l'ordre lorsque la loi l'exige ou lorsque la divulgation immédiate est nécessaire pour prévenir un préjudice imminent.

Délai de remédiation : il doit être accordé à Keenetic un délai raisonnable de remédiation, basé sur la sévérité, pour enquêter, corriger et diffuser des mises à jour de sécurité. Si Keenetic ne remédie pas ou ne fournit pas une atténuation crédible dans un délai raisonnable, le rapporteur peut en informer un CSIRT national ou une autorité compétente.

Si un rapporteur viole par inadvertance une partie de ce code de conduite, nous nous engageons à traiter malgré tout toute vulnérabilité découverte de bonne foi au mieux de nos capacités. Toutefois, un tel rapporteur pourrait ne pas recevoir de récompense.

Ⅳ. Nos engagements envers vous lors du signalement d'une vulnérabilité

Tous les rapports reçus sont traités au mieux de nos compétences. Par conséquent, vous devriez fournir au moins un moyen de contact valide lors du signalement d'une vulnérabilité. Bien entendu, vous pouvez signaler une vulnérabilité de manière anonyme.

1. Réponse

Après nous avoir envoyé un rapport de vulnérabilité, nous vous informerons de sa bonne réception. Cette confirmation sera une réponse personnalisée de notre équipe de sécurité. Si nous avons besoin de précisions ou d'informations supplémentaires, nous vous les demanderons dès que possible. Sachez qu'en cas de soumission anonyme, nous ne pouvons évidemment pas répondre, mais nous poursuivrons l'enquête. Pour la transmission d'informations confidentielles, nous avons besoin que vous fournissiez au minimum votre adresse électronique afin de pouvoir utiliser notre clé de chiffrement PGP disponible à l'adresse https://keenetic.com/fr/security/keenetic-security-pgp-public-key.asc

Après une analyse approfondie du rapport, nous vous fournirons un retour indiquant si nous confirmons ou rejetons la vulnérabilité signalée, des questions pertinentes pour comprendre la vulnérabilité signalée ou une explication des raisons pour lesquelles l'enquête prend plus de temps que prévu.

2. Communication confidentielle

Dans la mesure permise par la loi, nous veillons à ce que chaque rapport de vulnérabilité reçu soit traité de manière confidentielle et à ce que vos données personnelles ne soient pas divulguées à des tiers sans votre consentement explicite.

Les informations requises pour la divulgation publique de la vulnérabilité validée et vérifiée sont rendues publiques dans la mesure où la loi nous y oblige.

3. Signalement anonyme (optionnel)

Vous pouvez utiliser notre formulaire anonyme basé sur le site Web.

Bien que nous respections votre souhait de rester anonyme, veuillez noter que les signalements anonymes ne peuvent être traités que de manière limitée, voire pas du tout, faute de possibilité de solliciter des précisions techniques ou de contenu, en particulier dans le cas de problèmes complexes.

4. Communication respectueuse et ouverte

Toutes les communications resteront professionnelles et nos communications seront respectueuses. Nous attendons la même courtoisie en retour. Nous appliquons une tolérance zéro à l'égard de toute discrimination, tout harcèlement ou tout manque de respect dans les communications de part et d'autre.

Notre équipe de sécurité peut vous contacter pour mieux comprendre le problème ou demander des éléments techniques et des instructions reproductibles afin que la vulnérabilité puisse être reproduite et corrigée. Nous vous encourageons à demander des mises à jour à tout moment. Nous considérons les relances comme bienvenues et comme un signe d'intérêt, et non comme une gêne.

Ⅴ. Coordination et clôture de la divulgation

Les vulnérabilités validées et vérifiées sont divulguées publiquement par Keenetic. L'avis public comprend :

• Une description de la vulnérabilité.

• Des informations permettant aux utilisateurs d'identifier les produits/versions affectés.

• L'impact et la sévérité.

• Des instructions claires sur l'application de mesures correctives ou d'un correctif.

Le processus de divulgation coordonnée des vulnérabilités est considéré comme achevé si la vulnérabilité a été atténuée ou corrigée par des mesures appropriées, si elle a été divulguée publiquement, ou si les indications du rapport de vulnérabilité sont infondées et, par conséquent, le rapport ne peut être traité que dans une mesure limitée ou pas du tout.

Nous considérons qu'un processus de CVD est terminé lorsque l'un des événements suivants se produit :

• un correctif ou une atténuation a été déployé et un avis public publié ; ou

• le problème signalé a été jugé ne pas constituer une vulnérabilité (faux positif ou hors périmètre) et cette décision a été communiquée au rapporteur ; ou

• nous sommes dans l'impossibilité de reproduire le problème ou avons besoin d'informations supplémentaires et le rapporteur demeure sans réponse pendant une période prolongée (généralement 30 jours), auquel cas nous clôturons le dossier dans l'attente de nouvelles informations.

Nous communiquons la fin du processus de CVD au rapporteur, sauf si la vulnérabilité a été signalée de manière anonyme.

Ⅵ. Récompenses

Nous apprécions vivement les efforts des rapporteurs et de toutes les personnes qui nous signalent en privé des vulnérabilités. En signe de remerciement, nous exploitons un Programme de Bug Bounty. Les chercheurs externes en sécurité qui signalent de manière responsable des vulnérabilités conformément à la présente politique peuvent être éligibles à une récompense financière à titre de reconnaissance. Le montant de toute récompense est déterminé individuellement en fonction de la sévérité de la vulnérabilité signalée, comme décrit dans nos Conditions du Programme de Bug Bounty.

Ⅶ. Protection juridique

En respectant la présente politique CVD, Keenetic reconnaît que le rapporteur agit dans le cadre d'une recherche « de bonne foi » et n'engagera pas de poursuites pénales contre le rapporteur en lien avec les activités de recherche.

Keenetic (« Keenetic », « nous », « notre ») exploite un programme de Bug Bounty (« Programme »). Le Programme est régi par les présentes Conditions du Programme Bug Bounty et par la Politique de divulgation coordonnée des vulnérabilités (« Politique CVD »). Ensemble, ces documents constituent les conditions juridiques contraignantes du Programme (les « Conditions »).

1. Aperçu du programme

(1) L’objectif du Programme est d’améliorer la sécurité de nos produits et de protéger les données des utilisateurs en tirant parti d’expertises externes, conformément à nos Conditions. En soumettant un rapport de vulnérabilité ou en participant d’une quelconque manière, vous acceptez les Conditions.

(2) Une vulnérabilité valable, au sens des Conditions, s’entend d’une faiblesse, anomalie ou faille de sécurité affectant directement un des produits ou l’infrastructure de Keenetic et pouvant être exploitée. Le montant de toute récompense est déterminé individuellement en fonction de la sévérité de la vulnérabilité signalée.

(3) Les décisions prises par Keenetic concernant les Bug Bounties sont finales et contraignantes. Keenetic peut modifier ou annuler ce Programme à tout moment et pour quelque raison que ce soit.

2. Sphère de protection

(1) Les activités menées en conformité avec nos Conditions sont réputées autorisées ; en conséquence, nous n’engagerons aucune action en justice (civile ou pénale) à votre encontre pour vos efforts de bonne foi dans le cadre du Programme.

(2) Il est entendu que cette assurance ne s'applique que si vous respectez les Conditions du Programme. Nous ne pouvons pas vous immuniser contre des conséquences juridiques initiées par des tiers ou des autorités pour des actes dépassant notre portée. Il vous incombe de respecter en permanence les lois applicables et de vous abstenir de toute action allant au‑delà de ce qui est permis ici. En cas de doute sur la licéité d'une action, veuillez arrêter et nous consulter au préalable (voir les coordonnées figurant sous « Procédure de signalement d'une vulnérabilité et code de conduite » de la Politique de divulgation coordonnée des vulnérabilités de Keenetic).

3. Portée du Programme

(1) Le Programme couvre les produits, services et sites Web suivants de notre organisation (« systèmes inclus dans le périmètre ») :

• Applications Web : p. ex., notre site Web officiel et nos sous-domaines, portails clients et services en ligne.
• Applications mobiles/pour ordinateur : les dernières versions de nos applications (Android, iOS, Windows) distribuées via les boutiques d'applications officielles.
• API et infrastructure : API documentées publiquement et services backend nous possédons.
• Matériel/appareils IoT : tout produit matériel avec son microprogramme.

(2) Seules les vulnérabilités affectant directement ces systèmes inclus dans le périmètre sont éligibles à des récompenses. En cas de doute quant à la portée d'un système, veuillez vous renseigner avant de tester. Nous pouvons mettre à jour la portée périodiquement (p. ex., ajout de nouvelles cibles ou suspension temporaire de certains systèmes). Ces changements seront indiqués sur la page Web du Programme.

(3) Pour éviter toute ambiguïté, les systèmes suivants sont hors de la portée, leur test n'est pas autorisé (« systèmes hors périmètre ») :

• Services ou infrastructures de tiers : les vulnérabilités des plateformes tierces que nous utilisons (fournisseurs cloud, outils SaaS, etc.) doivent être signalées à ces fournisseurs, et non à nous. Les attaques ou analyses visant nos fournisseurs ou partenaires ne sont pas autorisées.
• Actifs ne nous appartenant pas : tout site Web, application ou système non expressément indiqué comme inclus dans la portée (y compris les domaines qui n'appartiennent pas à notre société).
• Déni de service : toute attaque perturbant le service (DoS/DDoS) ou consistant à lancer un grand nombre de requêtes ou de tentatives de connexion par force brute.
• Ingénierie sociale et attaques physiques : la manipulation de nos employés ou utilisateurs (hameçonnage, faux prétextes téléphoniques, etc.) ou toute tentative d'accès physique à des bureaux est strictement interdite. Le Programme se limite aux vulnérabilités techniques.
• Atteintes à la vie privée : l'accès, la copie ou la modification de données qui ne sont pas les vôtres. Par exemple, l'extraction d'informations personnelles d'autres utilisateurs ou de données propriétaires est hors portée, même si une vulnérabilité la rend théoriquement possible. Si, lors de vos tests, vous tombez sur des données d'autrui, arrêtez immédiatement et signalez le problème. N'explorez pas davantage ces données.

4. Conditions d'admissibilité au Programme

(1) Ce Programme s'adresse aux chercheurs externes dans le domaine de la sécurité. Pour participer et percevoir une récompense, vous devez satisfaire à tous les critères d'éligibilité suivants

a. Âge minimum
Vous devez avoir au moins 18 ans. Si vous avez 14 ans ou plus, mais moins de 18 ans (ou en‑dessous de l'âge de la majorité dans votre pays), vous devez obtenir l'autorisation d'un parent ou tuteur légal pour participer. Dans tous les cas, aucun participant de moins de 14 ans n'est autorisé.

b. Autorisation individuelle ou de l'organisation
Vous pouvez participer à titre individuel ou au nom de votre employeur. Si vous signalez une vulnérabilité dans l'exercice de vos fonctions ou en utilisant les ressources de votre employeur, assurez‑vous que votre employeur autorise la participation à des programmes de bug bounty. Il vous incombe d'examiner vos contrats de travail ou politiques internes.

c. Pas d'employés/entrepreneurs actuels ou récents
Les employés de Keenetic ou de ses filiales ne sont pas éligibles. Cela inclut toute personne ayant quitté notre entreprise au cours des 6 derniers mois, ainsi que toute personne travaillant actuellement pour nous en tant que prestataire, consultant ou stagiaire ayant accès à nos systèmes internes. Les membres de la famille proche (conjoint, parent, enfant, frère ou sœur) de nos employés ne sont pas non plus éligibles. Cette règle garantit l'équité et évite les conflits d'intérêts.

d. Secteur public
Si vous êtes employé(e) du secteur public (p. ex., administration, forces de l'ordre, armée ou secteur de l'éducation), vous ne pouvez participer qu'à titre personnel et non dans le cadre de vos fonctions officielles. Il vous incombe de veiller à ce que l'acceptation d'une récompense de notre part ne viole aucune loi ni aucune règle d'éthique qui vous est applicable.

e. Multiplicité de rapports et doublons
Si la même vulnérabilité est signalée par plusieurs chercheurs, seul le premier rapport que nous recevons sera éligible à une récompense de Bug Bounty, sous réserve du respect de nos Conditions. Si un rapport ultérieur contient des informations nouvelles dont nous n'avions pas connaissance, nous pouvons, à notre discrétion, attribuer une récompense partielle au rapporteur ultérieur. Veuillez noter qu'il se peut que nous soyons déjà en train de corriger un problème lorsque vous le signalez. Le cas échéant, nous vous en informerons, et un tel cas peut ne pas donner droit à une récompense si nous considérons le problème comme étant déjà connu.

(2) Nous nous réservons le droit de disqualifier tout Participant qui ne satisfait pas à ces critères ou qui contrevient à l'esprit de ces règles. Aucune récompense de Bug Bounty ne sera versée à toute personne figurant sur une liste de sanctions ou qu'il nous serait juridiquement interdit de rémunérer. Veuillez nous contacter si vous avez des questions relatives à l'éligibilité ou si vous souhaitez obtenir des précisions.

5. Procédure de signalement d'une vulnérabilité et Code de conduite

(1) Comme exposé de manière détaillée dans la Politique CVD, Keenetic met à disposition plusieurs canaux sécurisés pour signaler des vulnérabilités valides, notamment

• E-mail : security@keenetic.com,
• un formulaire Web à l'adresse https://keenetic.com/security/anonymous-reporting-form, et
• un fichier security.txt hébergé sur notre site Web.

(2) Les rapports doivent contenir des détails techniques complets, tels qu'une description de la vulnérabilité, son impact potentiel, les systèmes affectés, les versions de produit et les étapes de reproduction, complétés par des éléments de preuve de concept lorsque cela est possible.

(3) Les signalements anonymes sont autorisés. Toutefois, cela peut limiter les échanges de suivi. Tous les rapporteurs sont tenus de respecter notre Code de conduite énoncé dans la Politique CVD, qui interdit notamment les tests perturbateurs, l'exploitation au‑delà de la preuve de concept, l'ingénierie sociale, les attaques physiques, le déni de service, les tentatives par force brute et la prise pour cible de systèmes tiers.

6. Récompenses

(1) Le Programme offre des récompenses de Bug Bounty pour les rapports de vulnérabilité éligibles et validés. Notre objectif est de reconnaître et de récompenser équitablement les chercheurs en sécurité en fonction de la sévérité et de l'impact de leurs constatations, tout en étant transparents quant à la manière dont les récompenses sont déterminées.

(2) Nous classons les vulnérabilités signalées en fonction de leur impact et de leur exploitabilité dans les catégories suivantes : faible, moyenne, élevée et critique. Pour chaque catégorie, nous disposons de fourchettes de récompense types (en dollars des États-Unis). Une structure de récompense typique peut inclure :

(3) Le montant effectif de la récompense pour chaque cas individuel est déterminé à la seule discrétion de Keenetic après validation par notre équipe de sécurité de la vulnérabilité signalée et évaluation de sa sévérité. Nous prenons en compte des facteurs tels que la classification et la sensibilité ainsi que le nombre de systèmes/données affectés, la facilité d'exploitation et le risque global pour nos utilisateurs et notre organisation.

(4) Aucune récompense ne sera versée dans les cas suivants :
a. Absence des indicateurs Secure/HTTPOnly sur des cookies non sensibles ;
b. Rapports en double de problèmes de sécurité, y compris des problèmes de sécurité déjà identifiés en interne ;
c. Attaques par analyse automatisée ;
d. Attaques par déni de service distribué et par déni de service ;
e. Anomalies d'UI, d'UX et fautes d'orthographe, problèmes d'ergonomie ;
f. Violations de licences ou d'autres restrictions applicables au produit d'un fournisseur ;
g. Vulnérabilités résultant d'un logiciel malveillant ;
h. Problèmes de sécurité théoriques sans scénario(s) d'exploitation réaliste(s) ni surfaces d'attaque, ou problèmes nécessitant des interactions complexes de l'utilisateur final pour être exploités ;
i. Vulnérabilités considérées comme en dessous d'un impact P1 ;
j. Découverte d'un service en cours d'utilisation dont la version contient des vulnérabilités connues (telle qu'une version spécifique du noyau Linux ou d'OpenSSL) sans démonstration d'intrusion, d'exfiltration d'informations ou de perturbation de service exploitant cette vulnérabilité ;
k. Exploitation des résultats d'une vulnérabilité pour créer d'autres exploitations de failles afin de tester ensuite des fonctionnalités normalement inaccessibles, p. ex. utilisation de données personnelles divulguées, en l'absence d'élément probant montrant qu'une vulnérabilité peut être exploitée à plus grande échelle ;
l. Vulnérabilités dans des logiciels et services tiers.

(4) Si un Participant enfreint une disposition des Conditions, Keenetic peut réduire, retenir ou exiger la restitution de tout ou partie de toute récompense versée ou à verser au titre de la vulnérabilité concernée. Le montant de toute réduction sera proportionnel à la gravité de la violation et pourra tenir compte de facteurs tels que la nature de la violation, le degré de culpabilité et tout préjudice réel ou potentiel causé.

7. Paiements

(1) Pour recevoir le paiement, vous devrez nous fournir les informations nécessaires (telles que le mode de paiement, les informations fiscales le cas échéant). Les récompenses seront généralement versées en dollars des États-Unis ($) ou, si nous le précisons, dans une autre devise telle que l'EUR, nous le préciserons pendant le processus d'attribution. Nous pouvons souvent accepter une devise de paiement préférée au taux de change en vigueur au moment du paiement.

(2) Veuillez noter que les récompenses de Bug Bounty sont généralement considérées comme des revenus imposables. Vous êtes seul(e) responsable du paiement de tout impôt dû dans votre juridiction au titre de la récompense. Nous pouvons vous demander de remplir certains formulaires fiscaux (en particulier si vous êtes dans un autre pays) avant le paiement. Si vous êtes dans l'impossibilité ou si vous refusez de compléter les documents requis, cela pourrait retarder ou entraîner la perte du paiement.

8. Droits d'auteur

(1) Vous conservez tous droits de propriété intellectuelle sur votre soumission. Toutefois, en nous soumettant un rapport de vulnérabilité, vous nous concédez une licence non exclusive, perpétuelle, irrévocable, mondiale et libre de redevances pour utiliser, modifier, tester, créer des œuvres dérivées à partir des informations fournies dans votre rapport, les partager et les publier aux fins de traiter la vulnérabilité et d'améliorer la sécurité.

(2) Par exemple, nous pouvons utiliser le code de preuve de concept soumis pour reproduire le problème, divulguer des détails à un fournisseur tiers si nécessaire (afin de coordonner une correction dans un composant) et inclure les détails pertinents dans nos avis publics. Vous convenez également que tout matériel que vous soumettez est soit votre œuvre originale, soit que vous avez le droit légal de le fournir.

9. Restrictions en matière de divulgation

(1) Nous examinerons la vulnérabilité que vous avez signalée et nous efforcerons de la résoudre dans les meilleurs délais. Si vous souhaitez publier des détails sur vos constatations, veuillez d'abord nous contacter pour approbation. Pendant 30 jours après la correction de la vulnérabilité, nous vous demandons de ne pas publier de code d'exploitation détaillé de preuve de concept ni toute autre information susceptible de faciliter des attaques contre nos produits numériques. Keenetic vous informera lorsque la vulnérabilité faisant l'objet de votre soumission aura été corrigée.

(2) Toute violation de la présente section peut vous obliger à rembourser les récompenses attribuées pour la vulnérabilité et peut entraîner votre exclusion de toute participation future au Programme.

10. Responsabilité

(1) Notre responsabilité en cas de violation des Conditions et en matière délictuelle sera limitée à l'intention et à la négligence grave.

(2) La limitation de responsabilité visée au paragraphe 1 ne s'applique pas à

a. l'atteinte à la vie, à l'intégrité physique et à la santé du Participant ou

b. les prétentions du Participant pour violation d'obligations cardinales, c'est‑à‑dire des obligations découlant de la nature des Conditions dont la violation compromet la réalisation de l'objet du Programme. Dans ce cas, toutefois, notre responsabilité est limitée à la réparation du dommage prévisible et typiquement encouru.

Dans ces cas, nous sommes responsables quel que soit le degré de faute.

(3) En outre, la limitation de responsabilité du paragraphe 1 ne s'applique pas en cas de dissimulation frauduleuse d'un défaut.

(4) Dans la mesure où notre responsabilité en dommages et intérêts est exclue, cette exclusion s'applique également à la responsabilité personnelle de nos employés, représentants et auxiliaires d'exécution.

11. Divers

(1) Si une disposition des Conditions est ou devient invalide, la validité des autres dispositions n'en est pas affectée. Il est convenu qu'en lieu et place de la disposition invalide, une disposition visant un objectif économique aussi proche que possible de la disposition invalide est réputée convenue.

(2) Les Conditions sont régies par et interprétées conformément au droit de la République fédérale d'Allemagne. Les dispositions légales restreignant le choix de la loi applicable et l'applicabilité de dispositions impératives, en particulier celles du pays dans lequel le Participant, en tant que consommateur, a sa résidence habituelle, restent inchangées.

(3) Si le Participant est un commerçant, une personne morale de droit public ou un fonds spécial de droit public, le lieu de juridiction pour tous les litiges découlant des Conditions est Francfort‑sur‑le‑Main, en Allemagne.

ID de l'avis : KEN-PSA-2026-WP01
Sévérité : Élevée
État : Résolu dans KeeneticOS 5.0.4 et versions ultérieures

Résumé

Un problème de sécurité a été identifié dans KeeneticOS qui permet à un utilisateur disposant d’un accès en lecture seule d’extraire des informations internes du système et de les exploiter pour élever ses privilèges au niveau administrateur. Ce problème nécessite un accès authentifié préalable en tant qu’utilisateur en lecture seule, mais peut être exploité à distance.

Produits / Configurations affectés

Produits : Routeurs Keenetic exécutant des versions de KeeneticOS antérieures à 5.0.4.

Prérequis de configuration : l’attaquant doit déjà détenir des identifiants valides en lecture seule sur l’interface de gestion de l’appareil.

Détails de la vulnérabilité

Cette vulnérabilité découle d’une isolation insuffisante des données de configuration sensibles accessibles aux comptes en lecture seule. Un utilisateur authentifié avec des privilèges de lecture seule peut récupérer certains paramètres internes de l’appareil. Combinés, ces paramètres permettent à l’attaquant d’élever ses privilèges et d’obtenir un accès administratif à l’interface de gestion du routeur.

Sévérité (CVSS v3.1 — estimation de l'analyste)

8,8 (Élevée) — AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Justification : L’attaque ne requiert qu’un accès authentifié à faibles privilèges, est exploitable à distance et entraîne une compromission totale de la confidentialité, de l’intégrité et de la disponibilité.

Correction & Renforcement

Mise à niveau : migrer tous les appareils exécutant des versions antérieures à 5.0 vers KeeneticOS 5.0.4 ou une version ultérieure. Utilisez la dernière version du système disponible pour votre modèle.

Mesure d’atténuation provisoire : Éviter de créer ou d’attribuer des comptes utilisateur en lecture seule jusqu’à l’application de la mise à jour.

Note: Keenetic provides this translation of the original English language document as a convenience to users. Please refer to English language document as a legally binding.

ID de l'avis : KEN-PSA-2025-WP01
Sévérité : Élevée
CWE : CWE-521 (Exigences de mot de passe faibles)
État : Résolu dans KeeneticOS 4.3 et versions ultérieures

Résumé

Avant KeeneticOS 4.3, les utilisateurs pouvaient définir des mots de passe administrateur faibles tout en ouvrant l'interface web du routeur à Internet, ce qui posait un risque élevé de compromission. Des enquêtes internes récentes ont révélé que cette vulnérabilité est exploitée par des scanners de mots de passe automatisés sur des appareils utilisant les mots de passe faibles les plus courants. La dernière version de KeeneticOS 4.3 impose des mots de passe plus forts et bloque l'accès Web public si un mot de passe compromis connu est défini.

Nous avons identifié qu'un nombre important d'utilisateurs continuent d'utiliser des mots de passe faibles ou faciles à deviner. Cela crée des risques de sécurité importants, notamment des accès non autorisés, des violations de données et des interruptions de service potentielles. La protection des données des utilisateurs est notre plus haute priorité et il est essentiel de remédier à ces vulnérabilités.

Afin de renforcer la sécurité globale et d'assurer la protection continue des données des utilisateurs, une mise à jour logicielle obligatoire sera déployée pour les appareils fonctionnant sous des versions de KeeneticOS antérieures à la 4.3, conformément à l'article 6 du Contrat de licence d'utilisateur final et en conformité avec la loi sur la cyber-résilience de l'UE (CRA). Cette mise à jour inclut des mesures de sécurité renforcées, des outils pour encourager la création de mots de passe plus forts, et des corrections de bogues critiques qui améliorent la stabilité du système et protègent les comptes utilisateurs.

Nous vous présentons nos sincères excuses pour la gêne occasionnée par cette mise à jour. Afin de minimiser les perturbations, nous nous efforçons de la déployer en dehors des heures de bureau habituelles. Si vous avez des questions ou si vous avez besoin d'aide, veuillez contacter notre équipe d'assistance.

Produits / Configurations affectés

Produits : Routeurs Keenetic exécutant des versions de KeeneticOS antérieures à la 4.3.

Prérequis de configuration : L'interface web du routeur doit être exposée à Internet et l'accès Web à distance doit être activé.

Détails de la vulnérabilité

Problème : Les mots de passe administrateur faibles sont acceptés alors que l'interface web peut être accessible depuis Internet.

Impact : Prise de contrôle administrative complète de l'appareil, permettant des modifications de configuration, l'interception/redirection du trafic, l'activation de services supplémentaires et une éventuelle pénétration plus profonde dans le réseau interne.

Vecteur : Distant (Internet) ; aucune authentification préalable ou interaction de l'utilisateur n'est requise.

Facteurs contributifs : Exposition de l'interface d'administration à Internet et informations d'identification faibles et faciles à deviner.

Sévérité (CVSS v3.1 — estimation de l'analyste)

8.8 (Élevé) — AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L
Justification : Chemin distant non authentifié vers le contrôle administratif lorsque des mots de passe faibles sont autorisés ; l'impact sur la disponibilité est secondaire par rapport à la confidentialité et à l'intégrité.

Correction & Renforcement

Contrôles de la plateforme : L'appareil vérifie automatiquement si le mot de passe administrateur figure sur la liste des mots de passe faibles les plus couramment utilisés. Dans ce cas, il bloque l'accès à distance à l'interface web et l'exécution de logiciels personnalisés, et le mot de passe ne peut être modifié qu'à partir du réseau local. Lors de la saisie d'un nouveau mot de passe, l'appareil impose une force de mot de passe conforme aux recommandations de la norme NIST SP 800-63B.

Mise à niveau : Mettez à jour tous les appareils exécutant des versions antérieures à la 4.3 vers KeeneticOS 4.3 ou une version ultérieure. Utilisez le système d'exploitation le plus récent disponible pour votre modèle.

Informations d'identification de l'administrateur : Utilisez des mots de passe longs et uniques. Nous recommandons au moins 15 caractères ou une phrase secrète générée.

Limiter l'exposition : Si l'accès Web à distance n'est pas strictement nécessaire, désactivez-le. Utilisez les règles du pare-feu pour autoriser l'accès à l'interface web de l'appareil uniquement à partir d'adresses IP spécifiques.

Surveiller les attaques : Soyez attentif aux échecs de connexion répétés ou aux verrouillages de compte, car ils peuvent indiquer une attaque par force brute.

Note: Keenetic provides this translation of the original English language document as a convenience to users. Please refer to English language document as a legally binding.

ID de l'avis : KEN-PSA-2025-WA01
Sévérité : Moyenne
CVE : CVE-2025-56007, CVE-2025-56008, CVE-2025-56009
État : Résolu dans KeeneticOS 4.3 et versions ultérieures

Keenetic a reçu et vérifié des rapports concernant trois vulnérabilités de sécurité graves affectant toutes les versions de KeeneticOS antérieures à la 4.3. Un chercheur en sécurité indépendant a divulgué de manière responsable ces vulnérabilités, qui ont depuis été corrigées dans la dernière version stable.

Les vulnérabilités sont identifiées comme CVE-2025-56007, CVE-2025-56008, CVE-2025-56009.

CVE-2025-56007 — Injection CRLF au niveau du point de terminaison de l'API /auth :
Une vulnérabilité d'injection CRLF dans le point de terminaison de l'API /auth pourrait permettre à des attaquants distants de manipuler les en-têtes HTTP et d'injecter des commandes non autorisées. Les attaquants pourraient ajouter de nouveaux utilisateurs administratifs et prendre le contrôle de l'appareil en incitant une victime à ouvrir une page spécialement conçue.

CVE-2025-56008 — Cross-Site Scripting (XSS) sur la page « Wireless ISP » :
Les attaquants pourraient exploiter une vulnérabilité XSS sur la page de configuration « Wireless ISP » en diffusant un SSID spécialement conçu contenant un script malveillant. Lorsque l'utilisateur recherche les réseaux disponibles à l'aide de l'interface web, le script est exécuté dans le contexte de la session de l'administrateur, permettant à l'attaquant de prendre le contrôle de l'appareil.

CVE-2025-56009 — Cross-Site Request Forgery (CSRF) au niveau du point de terminaison de l'API /rci :
Une vulnérabilité CSRF dans le point de terminaison de l'API /rci pourrait permettre à des attaquants d'effectuer des actions non autorisées au nom d'un utilisateur authentifié. En attirant la victime sur une page malveillante, les attaquants pourraient ajouter silencieusement des utilisateurs avec des autorisations complètes et compromettre l'appareil.

Appareils potentiellement concernés :
Tous les modèles Keenetic avec l'indice « KN », sortis à partir de 2017.

Sévérité :
La sévérité est considérée comme moyenne, car l'utilisateur doit être connecté à l'interface web du routeur pendant l'attaque. Une attaque sur la page « Wireless ISP » nécessite également que l'attaquant soit à proximité de l'appareil.

Versions du microprogramme concernées :
Toutes les versions de KeeneticOS jusqu'à la 4.2.

Solution :
Il est fortement conseillé à tous les utilisateurs de mettre à niveau leurs appareils Keenetic vers la dernière version stable du microprogramme, KeeneticOS 4.3, qui inclut des correctifs pour ces vulnérabilités. Les mises à jour du microprogramme peuvent être effectuées via l'interface web de l'appareil ou l'application mobile Keenetic.

Remerciements :
Nous remercions le chercheur indépendant pour sa divulgation responsable et sa contribution à l'amélioration de la sécurité des produits Keenetic.

Note: Keenetic provides this translation of the original English language document as a convenience to users. Please refer to English language document as a legally binding.

ID de l'avis : KEN-PSA-2025-WD01
Sévérité : Moyenne
CVE : CVE-2025-20674, CVE-2025-20685, CVE-2025-20686
État : Résolu dans KeeneticOS 4.3.2 et versions ultérieures

Keenetic est au courant d'une vulnérabilité d'« injection de paquets arbitraires » dans le pilote du point d'accès Wi-Fi, signalée par le fabricant du chipset, Mediatek, Inc. Il existe un moyen possible d'injecter un paquet arbitraire en raison d'un contrôle d'autorisation manquant. Cela pourrait conduire à une élévation de privilèges à distance sans nécessiter de privilèges d'exécution supplémentaires. L'interaction de l'utilisateur n'est pas nécessaire pour l'exploitation.

Le fabricant du chipset a également signalé des vulnérabilités supplémentaires, telles qu'une possible écriture hors limites due à une vérification incorrecte des limites. Cela pourrait conduire à une exécution de code à distance sans nécessiter de privilèges d'exécution supplémentaires.

Les vulnérabilités sont identifiées comme CVE-2025-20674, CVE-2025-20685, CVE-2025-20686.

Appareils potentiellement concernés :
Tous les modèles Keenetic avec l'indice « KN », sortis à partir de 2017, sont basés sur des chipsets Wi-Fi produits par Mediatek : MT7628, MT7603, MT7612, MT7613, MT7915, MT7916.

Versions du microprogramme concernées :
Toutes les versions de KeeneticOS jusqu'à la 4.3.1 incluse

Sévérité :
La sévérité est considérée comme moyenne, car l'attaquant doit se trouver à proximité physique de l'appareil cible.

Solution :
KeeneticOS 4.3.2 inclut les correctifs nécessaires pour remédier à ces vulnérabilités. Cette mise à jour s'applique à tous les modèles Keenetic concernés. Nous recommandons vivement aux utilisateurs de mettre à niveau leurs appareils vers la dernière version de KeeneticOS disponible en ligne. Keenetic a déjà commencé à déployer des mises à jour automatiques sur les appareils pour lesquels l'option de mise à jour automatique est activée.

Note: Keenetic provides this translation of the original English language document as a convenience to users. Please refer to English language document as a legally binding.

ID de l'avis : KEN-PSA-2025-CS01
Sévérité : Moyenne
État : Résolu

À la lumière des informations nouvellement découvertes, Keenetic Limited informe les utilisateurs de l'Application mobile Keenetic qui se sont inscrits avant le 16 mars 2023 qu'une partie des données de leur application mobile pourrait avoir été compromise en raison d'un accès non autorisé à la base de données.

Le matin du 15 mars 2023, nous avons été informés par un chercheur indépendant en sécurité informatique de la possibilité d'un accès non autorisé à la base de données de l'Application mobile Keenetic. Après avoir vérifié la nature et la crédibilité du risque, nous avons immédiatement résolu le problème dans l'après-midi du 15 mars 2023. Le chercheur en sécurité informatique nous a assuré qu'il n'avait partagé aucune donnée avec qui que ce soit et qu'il l'avait détruite. Depuis lors, nous n'avions aucune indication que la base de données avait été compromise ou qu'un utilisateur avait été affecté jusqu'à la fin de février 2025.

Le 28 février 2025, nous avons appris que certaines informations de la base de données avaient été divulguées à un média indépendant. Par conséquent, nous avons déterminé que nous ne pouvons plus garantir que les données ont été correctement détruites, et certaines informations peuvent désormais échapper à notre contrôle.

Cependant, en raison de la nature des données qui pourraient être potentiellement exposées, nous estimons que le risque d'activité frauduleuse est faible.

Un nombre limité de champs de la base de données étaient accessibles : Identifiants Keycloak, e-mails (identifiants) et noms des comptes Keenetic, paramètres régionaux ; configurations des comptes utilisateurs de l'appareil, y compris les hachages de mot de passe MD5 et NT ; noms KeenDNS personnalisés ; configurations de l'interface réseau, y compris les SSID Wi-Fi et les clés pré-partagées ; paramètres des canaux Wi-Fi, identifiants et clés d'itinérance ; paramètres de politique IP et de mise en forme du trafic ; adresses de pairs distants, identifiants et mots de passe des clients VPN, adresses IP attribuées ; noms et adresses MAC des hôtes enregistrés ; configurations IPsec site à site ; configurations du serveur IP virtuel IPsec ; paramètres du pool DHCP ; paramètres NTP ; listes d'accès IP et MAC.

À notre connaissance, aucune autre donnée n'a été accessible. En particulier, les données RMM, les données de compte Keenetic, les clés privées et les configurations des tunnels VPN Wireguard, ainsi que les données OpenVPN étaient inaccessibles.

Keenetic ne collecte, ne stocke ni n'analyse de données sur les détails des cartes de paiement ou les identifiants associés, les données transactionnelles, les coordonnées bancaires ou les mots de passe bancaires. Par conséquent, ces données ne sont pas affectées.

Nous recommandons à ces utilisateurs de l'application mobile Keenetic de modifier les mots de passe et les clés pré-partagées suivants :

- Mots de passe du compte utilisateur de l'appareil Keenetic (lien vers les instructions) ;

- Mots de passe Wi-Fi (lien vers les instructions) ;

- Mots de passe/clés pré-partagées du client VPN pour : PPTP/L2TP (lien vers les instructions), L2TP/IPSec (lien vers les instructions), IPSec Site-à-Site (lien vers les instructions), SSTP (lien vers les instructions).

Nous sommes convaincus que l'accès non autorisé s'est produit sans intention frauduleuse ou malveillante, et que les informations de la base de données ne sont pas accessibles au public. Néanmoins, une notification appropriée a été envoyée à l'autorité de protection des données compétente.

Nous nous excusons pour tout inconvénient et confirmons que toutes les mesures nécessaires ont été prises pour éviter qu'une situation similaire ne se reproduise à l'avenir.

La sécurité est notre plus grande priorité pour offrir un environnement protégé et contrôlable afin de préserver les réseaux et les données de nos utilisateurs. Nous travaillons constamment à l'amélioration de notre système d'exploitation, de nos applications et de notre infrastructure cloud. Grâce à des mises à jour régulières, nous améliorons continuellement les performances et la sécurité pour garantir que nos logiciels restent à jour.

Si vous avez des questions, n'hésitez pas à contacter l'équipe de support technique compétente.

Note: Keenetic provides this translation of the original English language document as a convenience to users. Please refer to English language document as a legally binding.

ID de l'avis : KEN-PSA-2024-ED01
CVE : CVE-2024-4021, CVE-2024-4022
Sévérité : Faible
État : Résolu dans KeeneticOS 4.3 et versions ultérieures

Keenetic a été notifié rapidement et est pleinement conscient des vulnérabilités CVE-2024-4021 et CVE-2024-4022.

Appareils potentiellement concernés :
- KN-1010
- KN-1410
- KN-1711
- KN-1810
- KN-1910

Versions du microprogramme concernées :
Toutes les versions de KeeneticOS jusqu'à la 4.1.2.15 incluse.

Clarification des vulnérabilités signalées :
1. CVE-2024-4022 se réfère à une divulgation signalée d'informations destinées à être publiquement disponibles. L'affichage du nom du modèle et de la version du microprogramme dans l'interface web est une conception intentionnelle et n'est pas considéré comme une vulnérabilité. Le nom du modèle est explicitement affiché sur l'interface utilisateur, et la version du microprogramme peut être facilement estimée en raison des mises à jour fréquentes qui modifient visiblement l'interface.
2. CVE-2024-4021 ne permet pas l'accès à distance, le contrôle ou la fuite d'informations privées de l'utilisateur. Au lieu de cela, il permet à un attaquant d'identifier quels composants logiciels (par exemple, WPA3-E, WireGuard, OpenVPN) sont installés sur le routeur. Il est important de noter que cette vulnérabilité n'indique pas si ces composants sont actifs ou activés. Elle ne divulgue pas non plus si un service spécifique est fourni en externe (par exemple, WireGuard pourrait être disponible via la redirection de port plutôt qu'installé sur le routeur lui-même). Après avoir consulté un chercheur en sécurité tiers indépendant, Keenetic a classé cette vulnérabilité comme une divulgation d'informations à faible risque. Cela signifie qu'elle ne compromet pas directement l'appareil ou les informations de l'utilisateur.

Sévérité :
La sévérité de la divulgation d'informations excessives sur l'appareil et le système d'exploitation est considérée comme faible.

Solution :
En raison de la faible nature de risque de ces vulnérabilités, Keenetic traitera ces problèmes dans la prochaine mise à jour de KeeneticOS. Un correctif sera inclus dans la version 4.3 de KeeneticOS, dont la sortie est prévue pour la mi-2025. Une mise à jour urgente n'est pas nécessaire.

Note: Keenetic provides this translation of the original English language document as a convenience to users. Please refer to English language document as a legally binding.

ID de l'avis : KEN-PSA-2021-WD01
Sévérité : Moyenne
CVE : CVE-2020-24586, CVE-2020-24587, CVE-2020-24588, CVE-2020-26139, CVE-2020-26140, CVE-2020-26146, CVE-2020-26147
État : Résolu dans KeeneticOS 3.6.6 et versions ultérieures

Keenetic est au courant des vulnérabilités de sécurité Wi-Fi connues sous le nom de FragAttacks (Attaques par fragmentation et agrégation). Des informations détaillées sont disponibles à l'adresse https://www.fragattacks.com.

Les vulnérabilités suivantes ont été identifiées :
- CVE-2020-24586
- CVE-2020-24587
- CVE-2020-24588
- CVE-2020-26139
- CVE-2020-26140
- CVE-2020-26146
- CVE-2020-26147

Appareils potentiellement concernés :
Tous les modèles Keenetic avec l'indice « KN », sortis à partir de 2017.

Versions du microprogramme concernées :
Toutes les versions de KeeneticOS jusqu'à la 3.6.5 incluse.

Sévérité :
La sévérité des FragAttacks est considérée comme moyenne, avec un impact étendu sur presque tous les appareils Wi-Fi depuis 1997. Les vulnérabilités peuvent potentiellement entraîner une divulgation d'informations et une élévation de privilèges. Cependant, leur exploitation n'est pas simple et nécessite que l'attaquant se trouve à proximité physique de l'appareil cible.

Solution :
La version 3.6.6 de KeeneticOS inclut les correctifs nécessaires pour remédier à ces vulnérabilités Wi-Fi. Cette mise à jour s'applique à tous les modèles Keenetic concernés. Nous recommandons vivement aux utilisateurs de mettre à niveau leurs appareils vers la dernière version de KeeneticOS disponible en ligne. Keenetic a déjà commencé à déployer des mises à jour automatiques sur les appareils pour lesquels l'option de mise à jour automatique est activée.

Note: Keenetic provides this translation of the original English language document as a convenience to users. Please refer to English language document as a legally binding.