Produit
Sécurité

NVIDIA prend très au sérieux les problèmes de sécurité et s’efforce d’y répondre rapidement. Dès qu’un problème de sécurité est signalé, NVIDIA mobilise les ressources nécessaires pour le confirmer, l’analyser et prendre les mesures appropriées pour le résoudre.

NVIDIA PSIRT – Gestion des failles de sécurité

L'équipe NVIDIA de réponse aux incidents relatifs à la sécurité des produits (ou NVIDIA PSIRT, pour "Product Security Incident Response Team") a pour objectif de réduire les risques qu'encourent les clients face aux failles de sécurité, notamment en fournissant aussi rapidement que possible des informations, conseils et résolutions sur les vulnérabilités présentes dans les produits NVIDIA. NVIDIA PSIRT est une équipe internationale qui gère la réception, l'étude, la coordination interne, la résolution et la divulgation des informations sur les failles de sécurité liées aux produits NVIDIA.


L'une des principales responsabilités de l'équipe NVIDIA PSIRT est de coordonner la réponse et la divulgation vis-à-vis de toutes les vulnérabilités identifiées en externe dans les produits NVIDIA.

Signalement des failles de sécurité potentielles

NVIDIA reçoit et traite les rapports de chercheurs indépendants, d'entreprises, de fournisseurs, de clients et d'autres sources se souciant de la sécurité des produits.

Pour plus d'informations sur la signalisation d’une vulnérabilité potentielle, rendez-vous sur la page "Report Vulnerability" (Signaler une vulnérabilité).

Divulgation coordonnée de failles de sécurité

NVIDIA s'efforce de respecter la Divulgation coordonnée de failles (DCF). Ce processus permet à tout rapporteur indépendant ayant découvert une faille dans nos produits de contacter directement NVIDIA pour nous permettre d'étudier et de résoudre la faille avant la divulgation de ces informations au public.

L'équipe NVIDIA PSIRT sera en contact avec le rapporteur tout au long de l'étude de la faille et le tiendra informé de la progression, le cas échéant. Avec l'accord du rapporteur, l'équipe NVIDIA PSIRT peut le citer sur la page "Acknowledgement" (Remerciements) pour le remercier d’avoir découvert une faille de produit valide et d’avoir signalé le problème en privé. Après la diffusion d’un correctif ou d’une mise à jour par NVIDIA, le rapporteur peut évoquer la faille publiquement.

Le respect de la DCF de NVIDIA nous permet de protéger nos clients, tout en coordonnant les divulgations publiques et en remerciant le ou les rapporteurs pour cette découverte.

NVIDIA peut ponctuellement découvrir des failles de sécurité dans des produits d’autres fournisseurs. Le cas échéant, NVIDIA suivra son processus standard de Divulgation coordonnée de failles et communiquera le problème identifié au fournisseur concerné ou à un centre de coordination tiers.

Remerciements NVIDIA

Bien qu’aucun programme de chasse aux bugs n’ait été mis en place, NVIDIA publie des remerciements lorsqu’un problème de sécurité signalé par une tierce partie est traité dans le cadre de sa politique de Divulgation coordonnée de failles de sécurité.

  • Un identifiant CVE est attribué aux problèmes résolus dans un code produit NVIDIA requérant de la part du client le téléchargement d’une résolution. Nous publions également des remerciements dans notre bulletin de sécurité pour le problème signalé.
  • Une mention est publiée sur notre page Internet de remerciements pour les problèmes de sécurité résolus dans nos services Cloud ne requérant pas le téléchargement d’un correctif de protection de la part du client. L’équipe PSIRT se réserve le droit de prendre ses décisions au cas par cas.

Abonnement aux bulletins de sécurité et mises à jour

La liste des bulletins de sécurité publiés est disponible sur la page Bulletins de sécurité NVIDIA.

Il est fortement conseillé aux clients de s'abonner aux notifications sur les bulletins de sécurité NVIDIA pour rester informés de la publication initiale ou de révisions majeures aux bulletins de sécurité NVIDIA.

Vous pouvez vous abonner aux notifications ici.

Pour plus d'informations sur les bulletins de sécurité NVIDIA, consultez la section  Bulletins de sécurité de ce document.

Demandes Média ou RP concernant des informations sur les failles de sécurité NVIDIA

Veuillez contacter l'un des membres du service Communication d'entreprise, répertoriés ici.

Processus de gestion des failles par l’équipe NVIDIA PSIRT

Le graphique ci-dessous présente une vue d'ensemble du processus de l'équipe NVIDIA PSIRT.

Schéma 1. Processus de l'équipe de réponse aux incidents relatifs à la sécurité des produits NVIDIA

policies-image-400

Évaluation des risques pour la sécurité à l'aide du Common Vulnerability Scoring System (CVSS)

NVIDIA utilise actuellement le Common Vulnerability Scoring System version 3.1 (CVSS v3.1) pour évaluer le niveau de gravité des vulnérabilités identifiées. Le CVSS apporte une méthode de notation et un langage commun pour communiquer les caractéristiques et les impacts des failles. Il vise à établir une mesure du niveau de risque provoqué par une vulnérabilité. Il emploie trois mesures ou scores distincts qui incluent les calculs Base, Temporel et Environnemental, chacun composé d'un ensemble de mesures. La norme dans son intégralité, maintenue par le Forum of Incident Response and Security Teams (FIRST), est disponible à l'adresse suivante : https://www.first.org/cvss .

NVIDIA respecte l'échelle CVSS v3.1 Specification Document Qualitative Severity Rating Scale (https://www.first.org/cvss/specification-document) pour définir les niveaux de sécurité présentés dans le tableau ci-dessous :

Niveau d'impact sur la sécurité Score CVSS
Critique 9 – 10
Élevé 7 – 8,9
Standard 4 – 6,9
Faible 0,1 – 3,9
Aucun 0

NVIDIA se réserve le droit de s'écarter de ces directives dans des cas spécifiques, si certains facteurs supplémentaires ne sont pas correctement inclus dans le score CVSS.

Le cas échéant, les bulletins de sécurité NVIDIA fourniront le score de base CVSS v3.1. NVIDIA se concentre uniquement sur les statistiques de base, car ce sont elles qui sont le plus intéressantes pour nos clients et elles représentent les caractéristiques intrinsèques d’une vulnérabilité. L'évaluation des risques de NVIDIA se fonde sur la moyenne des risques sur un ensemble varié de systèmes installés et peut ne pas représenter le véritable risque pour votre installation locale.

NVIDIA recommande de consulter un professionnel de la sécurité ou de l'informatique pour évaluer le risque pour votre configuration spécifique et vous encourage à calculer le score environnemental d'après vos paramètres réseau. NVIDIA recommande par ailleurs à tous les clients de prendre en compte le score de base et tous les scores temporels et/ou environnementaux qui peuvent être pertinents pour leur environnement, afin d'évaluer leur risque global. Ce score global correspond à un moment précis et est adapté à votre environnement spécifique. Vous devez utiliser l'évaluation du problème par un professionnel de la sécurité ou de l'informatique et ce score final pour hiérarchiser les réponses dans votre propre environnement.

Politique de communication des failles

NVIDIA utilise les directives suivantes pour les failles logicielles non tierces afin de déterminer le plan de communication approprié :

Niveau d'impact sur la sécurité Score CVSS Plan de communication
Critique 9 –10 Bulletin de sécurité NVIDIA
Élevé 7 – 8,9
Standard 4 – 6,9
Faible 3,9 ou moins Note de publication

S'il existe un problème de sécurité avec un composant logiciel tiers utilisé dans un produit NVIDIA, NVIDIA peut publier un bulletin de sécurité. Si un bulletin de sécurité publié concerne une faille de composant logiciel tiers, NVIDIA utilise généralement le score CVSS fourni par le créateur du composant. Dans certains cas, NVIDIA peut ajuster le score CVSS pour refléter l'impact sur le produit NVIDIA.

NVIDIA se réserve le droit de dévier de ces directives dans des cas spécifiques, si des facteurs supplémentaires ne sont pas correctement inclus dans le score CVSS.

Bulletins de sécurité

Dans la plupart des cas, NVIDIA s’attache à notifier les clients lorsqu'une solution de contournement ou une mise à jour a été identifiée pour une faille de sécurité. La notification s'effectue via des communications ciblées ou par la publication d'un bulletin de sécurité. Avant de publier un bulletin de sécurité, l'équipe NVIDIA PSIRT réalise un processus de réponse à la faille et détermine s'il existe des correctifs logiciels ou des solutions de contournement suffisants pour traiter la faille, ou étudie si une divulgation publique ultérieure de correctifs de code est planifiée pour permettre de traiter les failles.

Les bulletins de sécurité visent à fournir la bonne quantité d'informations en apportant assez de détails afin que les clients puissent se protéger, mais pas un nombre excessif de détails qui permettrait à des utilisateurs malveillants de tirer parti de ces informations. Les bulletins de sécurité NVIDIA comprennent généralement les informations suivantes, le cas échéant :

  1. Produits et versions concernés ;
  2. Identifiant CVE (Common Vulnerability Enumeration) pour les failles (voir https://cve.mitre.org) ;
  3. Brève description de la faille et de l'impact potentiel si elle est exploitée ;
  4. Note de gravité Common Vulnerability Scoring System (CVSS) de la faille (voir https://www.first.org/cvss/user-guide.html) ;
  5. Les détails de résolution tels qu’une mise à jour de sécurité, une limitation ou une autre action requise par le client ;
  6. Référence au rapporteur de la faille identifiée et reconnaissance du fait qu'il a œuvré avec NVIDIA pour la Divulgation coordonnée de failles.

NVIDIA ne fournira pas d'informations supplémentaires sur les spécificités des failles au-delà des données fournies dans le bulletin de sécurité et la documentation connexe - comme les notes de publication, les articles de la Base de connaissances, les FAQ, etc. NVIDIA ne distribue pas le code des exploits/preuves de concept pour les failles identifiées.

En accord avec les pratiques du secteur, NVIDIA ne partage pas les conclusions des tests de sécurité internes ou d'autres types d'activités liées à la sécurité avec des entités externes. Il est important de noter que toute analyse des systèmes de production de NVIDIA sera considérée comme une attaque. Si vous êtes un partenaire OEM, veuillez consulter votre responsable de programme NVIDIA.

Les bulletins de sécurité NVIDIA sont publiés sur la page Bulletins de sécurité.  Vous pouvez vous abonner aux notifications ici.

Avis relatif à la sécurité

NVIDIA peut publier une communication spéciale pour répondre de manière rapide et appropriée aux divulgations publiques suite auxquelles la faille peut avoir reçu une grande attention publique, est susceptible de disposer d'exploits ou doit être activement exploitée. Dans ce cas spécifique, NVIDIA peut accélérer la communication et peut inclure ou non un ensemble complet de correctifs ou de solutions de contournement.  Il sera présenté en tant qu'avis relatif à la sécurité et publié sur la page "Security Bulletin" (Bulletin de sécurité).

Résolution de la faille

NVIDIA prend très au sérieux les problèmes de sécurité et s’efforce d’y répondre le plus rapidement possible. Les délais de réponse varient selon plusieurs facteurs, dont la gravité, le produit concerné, le cycle de développement actuel, les cycles d'assurance qualité et le fait que le problème puisse être mis à jour vers une version ultérieure ou non. 

La résolution peut revêtir une ou plusieurs des formes suivantes :

  1. Nouvelle version ;
  2. Mise à jour de sécurité fournie par NVIDIA ;
  3. Instructions pour télécharger et installer une mise à jour ou un correctif tiers ;
  4. Solution de contournement pour limiter la faille.

Nonobstant ce qui précède, NVIDIA ne garantit pas une résolution spécifique à chaque problème et les problèmes identifiés peuvent ne pas tous être résolus.

Participations NVIDIA PSIRT

Fier membre de

NVIDIA est une autorité de numérotation CVE

Droits du client : garanties, support et maintenance

Les droits des clients NVIDIA en lien avec les garanties, le support et la maintenance, comprenant les failles, dans tout produit logiciel NVIDIA, sont régis par le contrat applicable entre NVIDIA et chaque client.

Les affirmations fournies sur cette page Internet ne modifient ou n'étendent pas les droits de tout client ni ne créent des garanties supplémentaires. Toute information fournie par NVIDIA concernant les failles dans les produits NVIDIA, y compris les informations dans un rapport de faille de produit, est la seule information qu’émettra NVIDIA sur ladite faille.

Avertissement

Tous les aspects du processus et des politiques de l'équipe NVIDIA PSIRT sont susceptibles d’être modifiés sans préavis et au cas par cas. Aucune réponse n'est garantie pour tout problème spécifique ou catégorie de problèmes. Votre utilisation des informations sur le document ou des supports vers lesquels le document contient un lien s'effectue à vos propres risques. NVIDIA se réserve le droit de modifier ou de mettre à jour ce document sans préavis et à tout moment.

TOUTES LES INFORMATIONS, SPÉCIFICATIONS DE CONCEPTION, PRODUITS DE RÉFÉRENCE, FICHIERS, DESSINS, DIAGNOSTICS, LISTES ET AUTRES DOCUMENTS NVIDIA (COLLECTIVEMENT OU INDIVIDUELLEMENT APPELÉS "MATÉRIAUX") SONT FOURNIS "EN L’ÉTAT". NVIDIA N'APPORTE AUCUNE GARANTIE, EXPRESSE, IMPLICITE, LÉGALE OU AUTRE CONCERNANT LES SUPPORTS, ET TOUTES LES CONDITIONS, DÉCLARATIONS OU GARANTIES EXPRESSES OU IMPLICITES, COMPRENANT TOUTE GARANTIE IMPLICITE OU CONDITION DE TITRE, QUALITÉ MARCHANDE, QUALITÉ SATISFAISANTE, ADÉQUATION À UN BUT PARTICULIER ET NON-VIOLATION, SONT DONC EXCLUES DANS LA MESURE AUTORISÉE PAR LA LOI.

Les informations sont jugées exactes et fiables au moment où elles sont fournies. Toutefois, NVIDIA Corporation décline toute responsabilité quant aux conséquences de l’utilisation qui pourrait en être faite ou de la contrefaçon de brevets ou autres droits de tierces parties pouvant résulter de leur utilisation Aucune licence n’est octroyée implicitement ou de quelque autre manière sous quelque brevet ou droit de brevet de NVIDIA Corporation Les caractéristiques techniques mentionnées dans ce document peuvent être modifiées sans préavis Cette publication annule et remplace toute information diffusée antérieurement Les produits de la société NVIDIA ne peuvent pas être utilisés comme composants essentiels dans des dispositifs ou systèmes de survie sans l’autorisation expresse écrite de NVIDIA Corporation.