Politique de sécurité des produits
Dernière mise à jour : 15 mai 2026
1. Introduction
Hitron Technologies conçoit et fabrique des produits réseau connectés, notamment des modems et des passerelles câblés DOCSIS, des terminaux ONT pour la fibre optique (PON), des routeurs Wi-Fi et des appareils d’accès sans fil fixe 5G. Nous prenons très au sérieux la sécurité de ces produits et encourageons les chercheurs en sécurité, les clients, les opérateurs et le grand public à nous signaler toute vulnérabilité potentielle qu’ils identifieraient.
La présente politique décrit:
- Comment signaler un problème de sécurité présumé à Hitron;
- Que pouvez-vous attendre de notre part après avoir signalé un incident;
- Les protections que nous accordons aux chercheurs en sécurité agissant de bonne foi; et
- Les périodes de support définies pendant lesquelles Hitron s’engage à fournir des mises à jour de sécurité pour les produits concernés.
La présente politique est publiée conformément à la loi britannique de 2022 sur la sécurité des produits et les infrastructures de télécommunications (PSTI), au règlement de 2023 sur la sécurité des produits et les infrastructures de télécommunications (exigences de sécurité applicables aux produits connectables concernés) (tel que modifié), et s’aligne sur les normes internationales, notamment la norme ETSI EN 303 645, ISO/IEC 29147 (divulgation des vulnérabilités) et ISO/IEC 30111 (processus de gestion des vulnérabilités).
2. Comment signaler un problème de sécurité
2.1 Contacts pour les rapports
| Région | Courriel |
|---|---|
| Royaume-Uni (rapports soumis à la réglementation de la PSTI) | [email protected] |
| Toutes les autres régions | [email protected] |
Si vous ne savez pas quelle adresse utiliser, envoyez votre rapport à [email protected] et nous le transmettrons au service compétent.
Un enregistrement de divulgation lisible par machine est publié conformément à la RFC 9116 à l’adresse suivante:
- https://hitrontech.com/.well-known/security.txt
- https://us.hitrontech.com/.well-known/security.txt
- https://eu.hitrontech.com/.well-known/security.txt
2.2 Communication cryptée
Les rapports confidentiels peuvent être chiffrés à l’aide de notre clé publique PGP, disponible à l’adresse suivante:
- https://hitrontech.com/.well-known/security-pubkey.asc
- https://us.hitrontech.com/.well-known/security-pubkey.asc
- https://eu.hitrontech.com/.well-known/security-pubkey.asc
Identifiant de l’utilisateur principal: Hitron Technologies Product Security
Empreinte digitale: 7452 2997 F197 DE1A 77C1 671B 6FD7 F578 34B1 9FB3
2.3 Que faut-il inclure dans votre rapport?
Afin de nous aider à évaluer et à résoudre rapidement les problèmes, merci d’indiquer, dans la mesure du possible:
- Modèles de produit concernés et version matérielle;
- Version du micrologiciel (visible dans l’interface utilisateur Web du produit, sous « État » ou « Informations système »);
- Une description claire de la vulnérabilité et de son impact potentiel;
- Instructions détaillées pour reproduire le problème, y compris les conditions réseau requises;
- Code de validation de principe, captures d’écran, captures de paquets ou journaux, selon le cas;
- Si le problème a été signalé à une autre partie (CERT, opérateur, courtier, etc.);
- Le nom (ou pseudonyme) que vous souhaitez voir figurer dans les remerciements, et si vous souhaitez rester anonyme.
Vous pouvez soumettre vos rapports en anglais ou en français.
3. À quoi s’attendre de Hitron
Lorsque vous soumettez un rapport, Hitron s’engage à respecter la procédure suivante. Ces engagements s’appliquent à tous les rapports et constituent la base de notre conformité à l’annexe 1, paragraphe 2, du règlement de 2023 sur la sécurité des produits et les infrastructures de télécommunications (exigences de sécurité pour les produits connectables concernés) (tel que modifié), ainsi qu’à la norme ISO/IEC 29147.
3.1 Remerciements
Nous vous confirmerons la réception de votre rapport dans les trois (3) jours ouvrables.
3.2 Triage et validation
Dans les quinze (15) jours ouvrables suivant la réception de votre signalement, nous vous communiquerons une première évaluation indiquant si le signalement a été validé, s’il nécessite des informations complémentaires ou s’il a été jugé hors du champ d’application. Au cours de cette première évaluation, il se peut que nous vous contactions pour obtenir des précisions ou des détails supplémentaires sur la reproduction du problème.
3.3 Mises à jour
Jusqu’à ce que le problème soit résolu ou que le dossier soit clos, nous vous tiendrons informés de l’évolution de la situation au moins tous les trente (30) jours, notamment en cas de modification de l’évaluation de la gravité, du calendrier de résolution ou de l’état d’avancement de la coordination.
3.4 Objectifs de résolution
Hitron mettra tout en œuvre, dans la mesure du raisonnable, pour respecter les délais de correction fixés, calculés à compter de la validation du problème, comme indiqué ci-dessous:
| Gravité (CVSS v3.1) | Cible |
|---|---|
| Excellent (9,0–10,0) | 30 jours |
| Élevé (7,0–8,9) | 60 jours |
| Moyen (4,0–6,9) | 90 jours |
| Faible (0,1–3,9) | 180 jours, ou la prochaine mise à jour prévue |
Ces délais sont donnés à titre indicatif et ne sont pas contraignants ; ils peuvent être prolongés à la discrétion de Hitron, notamment, mais sans s’y limiter, dans les cas où la correction nécessite une coordination avec les fournisseurs de puces électroniques, les projets open source en amont, les opérateurs de télécommunications ou les organismes CERT.
3.5 Divulgation coordonnée
Hitron’s products are predominantly supplied to network operators who deploy them to end users under operator-controlled provisioning. Remediation of validated vulnerabilities is therefore coordinated with the affected operator(s) and, where applicable, with relevant industry coordination bodies.
Les produits Hitron sont principalement fournis à des opérateurs de réseau qui les déploient auprès des utilisateurs finaux dans le cadre d’un approvisionnement géré par l’opérateur. La correction des vulnérabilités validées est donc coordonnée avec le ou les opérateurs concernés et, le cas échéant, avec les organismes de coordination sectoriels compétents.
4. Une protection pour les chercheurs en sécurité
Hitron n’engagera ni ne soutiendra aucune action en justice à l’encontre des chercheurs en sécurité qui, de bonne foi:
- Signaler les vulnérabilités des produits Hitron conformément à la présente politique;
- Faire tout son possible, en toute bonne foi, pour éviter toute atteinte à la vie privée, toute interruption de service ou toute destruction de données;
- Évitez d’accéder aux données appartenant à d’autres utilisateurs ou opérateurs au-delà du strict nécessaire pour démontrer l’existence de la vulnérabilité;
- S’abstenir de divulguer publiquement la vulnérabilité avant que Hitron n’ait eu la possibilité de la corriger, conformément à la section 3.5; et
- S’abstenir de toute extorsion, de toute demande de paiement en échange du silence ou de tout trafic d’informations relatives à des failles de sécurité.
Cette clause de non-responsabilité s’applique uniquement aux actions visant les produits et l’infrastructure d’Hitron. Elle n’autorise pas les activités visant les réseaux exploités par les clients d’Hitron (par exemple, les opérateurs de câble ou de fibre optique) ou par des tiers. Les chercheurs doivent s’assurer que leurs tests sont effectués sur des équipements dont ils sont propriétaires ou qu’ils sont expressément autorisés à tester.
Hitron ne propose pas actuellement de programme de prime aux bogues. Nous fournirons une confirmation écrite de la divulgation aux chercheurs qui en feront la demande à des fins de portfolio ou de CV.
5. Hors du champ d’application
Les éléments suivants sont généralement considérés comme ne relevant pas du champ d’application de la présente politique:
- Signalements de vulnérabilités dans des produits dont le support a pris fin (voir la section 7);
- Résultats issus de scanners automatisés sans impact démontrable;
- Attaques par déni de service visant l’infrastructure ou les produits Hitron;
- Manipulations psychologiques visant les employés, les clients ou les fournisseurs de Hitron;
- Attaques physiques contre les bureaux ou les installations d’Hitron;
- Problèmes nécessitant un accès local privilégié lorsque cet accès est prévu par la conception (par exemple, l’accès à la console de débogage sur des appareils ouverts à l’aide d’outils non standard);
- Vulnérabilités théoriques pour lesquelles aucun scénario d’attaque n’a été démontré;
- Écarts par rapport aux bonnes pratiques (configuration TLS, présence d’en-têtes) sans incidence démontrable sur la sécurité;
- Les vulnérabilités présentes dans les services tiers (plateformes cloud, sites partenaires) qui ne sont pas gérés par Hitron.
Si vous n’êtes pas certain qu’un problème relève du champ d’application, veuillez tout de même le signaler ; nous préférons recevoir un signalement hors champ plutôt que de passer à côté d’un véritable problème.
6. Vie privée et confidentialité
Hitron traite tous les signalements de vulnérabilité de manière confidentielle. Nous ne divulguerons pas votre identité, vos coordonnées ni les détails techniques de votre signalement en dehors de Hitron sans votre consentement explicite, sauf si cela s’avère nécessaire dans le cadre d’une remédiation coordonnée (par exemple, avec les opérateurs concernés ou les organismes CERT sous embargo) ou si la loi nous y oblige.
Les données à caractère personnel fournies dans le cadre d’un signalement sont traitées conformément à la politique de confidentialité de Hitron, disponible à l’adresse suivante: https://hitrontech.com/legal/privacy-policy/.
7. Assistance pour les mises à jour de sécurité des produits
Hitron s’engage à fournir des mises à jour de sécurité pour les produits grand public connectables concernés pendant les périodes de support définies ci-dessous. Ces périodes sont publiées conformément à l’annexe 1, paragraphe 3 (période de support définie), du règlement de 2023 sur la sécurité des produits et l’infrastructure des télécommunications (exigences de sécurité pour les produits connectables concernés) (tel que modifié) et courent à compter de la date à laquelle le produit est mis sur le marché concerné pour la première fois.
Conformément à la PSTI:
- La durée de support définie pour un produit ne sera pas raccourcie après sa publication.
- Si la durée de support est prolongée, la nouvelle durée sera publiée dès que cela sera raisonnablement possible.
- Pendant la durée de support définie, Hitron évaluera et traitera les problèmes de sécurité affectant le produit et, lorsque des mesures correctives sont possibles, publiera des mises à jour du micrologiciel via le canal de distribution approprié (généralement l’opérateur de réseau ou le fournisseur de services).
7.1 Périodes de prise en charge définies (Royaume-Uni / Produits soumis à la réglementation PSTI)
| Produit | Assistance garantie jusqu’au (JJ/MM/AAAA) |
|---|---|
| CHITA | 31/12/2026 |
7.2 Diffusion des mises à jour
Les produits Hitron sont généralement fournis à des opérateurs de réseau (opérateurs de câble, fournisseurs d’accès Internet par fibre optique et opérateurs de réseaux mobiles) qui gèrent la distribution des micrologiciels aux utilisateurs finaux via des systèmes de provisionnement contrôlés par l’opérateur. Lorsqu’une mise à jour de sécurité est publiée, Hitron la met à la disposition de l’opérateur concerné ; son déploiement ultérieur auprès des utilisateurs finaux dépend du calendrier de mise à jour propre à l’opérateur.
8. Informations légales relatives à la PSTI au Royaume-Uni
Cette section rassemble les informations réglementaires et les délais que Hitron est tenue de définir et de publier en vertu du règlement britannique de 2023 sur la sécurité des produits et les infrastructures de télécommunications (exigences de sécurité applicables aux produits connectables concernés) (tel que modifié) .
- Interlocuteur pour signaler des problèmes de sécurité: [email protected]
- Engagement de reconnaissance: dans les trois (3) jours ouvrables suivant la réception (article 3.1).
- Engagement concernant les mises à jour de statut: au moins tous les trente (30) jours jusqu’à ce que le litige soit réglé (article 3.3).
- Fréquence minimale définie pour les mises à jour de sécurité: voir le tableau de la section 7.1
- Mots de passe: Les produits Hitron soumis au régime PSTI n’utilisent pas de mots de passe par défaut universels. Les appareils sont livrés avec des identifiants par défaut uniques pour chaque appareil ou nécessitent la définition d’identifiants par l’utilisateur lors de la première configuration, conformément aux exigences du PSTI en matière de mots de passe.
Une déclaration de conformité accompagne les produits concernés, conformément à la réglementation.
Pour en savoir plus sur le régime PSTI: https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime
9. Mises à jour de la présente politique
Hitron se réserve le droit de mettre à jour la présente politique de temps à autre. Les modifications importantes seront indiquées par la date de dernière mise à jour figurant en haut de la page. Une fois publiées, les durées de prise en charge définies ne seront pas raccourcies.
10. Contact
Pour toute question relative à la sécurité des produits:
- Généralités / International: [email protected]
- Royaume-Uni (PSTI): [email protected]
Les soumissions cryptées sont acceptées ; voir la section 2.2 pour obtenir la clé publique.