Sécurité des produits

Tesla apprécie le travail effectué par les chercheurs en sécurité pour l'amélioration de la sécurité de nos produits et de nos offres de services.
Nous nous engageons à travailler avec cette communauté pour vérifier, reproduire et répondre aux failles de sécurité signalées légitimes. Nous encourageons la communauté à participer à notre processus de signalement responsable. Pour se faire enregistrer comme chercheur en sécurité autorisé et de bonne foi et pour enregistrer un véhicule dans le cadre du programme de recherche, veuillez envoyer votre demande à l'adresse VulnerabilityReporting@tesla.com.

For vehicle or energy products

Bien que nous utilisions Bugcrowd comme plateforme pour récompenser tous les problèmes signalés, veuillez signaler les problèmes liés au véhicule et au produit directement à VulnerabilityReporting@tesla.com, en utilisant notre clé PGP pour chiffrer les rapports contenant des informations sensibles.

Bugs tiers

Si les problèmes signalés dans le cadre de notre programme de recherche de bugs affectent une bibliothèque tierce, un projet externe ou un autre fournisseur, Tesla se réserve le droit de transmettre les détails du problème à cette partie sans autre discussion avec le chercheur. Nous ferons tout notre possible pour coordonner les recherches et communiquer avec les chercheurs tout au long de ce processus.

Directives de divulgation responsable

Nous étudierons les signalements légitimes et mettrons tout en œuvre pour corriger rapidement toute faille de sécurité. Pour encourager le signalement responsable, nous n'engagerons aucune poursuite à votre encontre et ne demanderons pas aux forces de l'ordre d'enquêter à votre sujet si vous respectez les directives de divulgation responsable suivantes :

  • Donnez des détails relatifs à la faille de sécurité, y compris des informations nécessaires à la reproduction et à la validation de la faille de sécurité ainsi qu'une preuve de concept (POC). Toute faille de sécurité qui implique des fonctionnalités non hébergées sur un véhicule enregistré dans le cadre du programme recherche doit être signalée dans les 168 heures et zéro minute (7 jours) suivant l'identification de la faille.
  • Faites preuve de bonne foi afin d'éviter les violations des réglementations relatives à la vie privée, la destruction de données et l'interruption ou la dégradation de nos services.
  • Ne modifiez pas ou n'accédez pas à des données qui ne vous appartiennent pas.
  • Accordez à Tesla un délai raisonnable pour corriger le problème avant de diffuser toute information publiquement.
  • Ne modifiez que les véhicules que vous possédez ou auxquels vous êtes autorisé à accéder.
  • Ne compromettez pas la sécurité du véhicule et n'exposez pas les autres personnes à une situation dangereuse.
  • Les recherches sur la sécurité sont limitées aux mécanismes de sécurité des binaires du système d'infodivertissement, du Gateway, des ECU développées par Tesla et des produits énergétiques.


Pour lever tout doute,

  • Si, par le biais de vos activités de recherche de sécurité de bonne foi, vous (un chercheur en sécurité de bonne foi et autorisé) provoquez un problème logiciel qui nécessite la mise à jour ou le « flashage » de votre véhicule enregistré dans le cadre du programme de recherche, Tesla fera des efforts raisonnables pour mettre à jour ou « flasher » le logiciel Tesla dudit véhicule enregistré via une mise à jour à distance, en offrant une assistance dans un Service Center pour restaurer le logiciel du véhicule à l'aide de nos outils d'entretien standard, ou d'autres actions que nous jugeons appropriées. Le logiciel ou toute autre assistance sera fourni(e) à la discrétion de Tesla et ces mesures ne pourront être accordées qu'un nombre limité de fois. La prise en charge de Tesla ne s'applique pas aux dépenses directes (p. ex. remorquage) que vous avez engagées. Tesla se réserve le droit de limiter le nombre de demandes d'entretien par chercheur autorisé et de bonne foi et de désinscrire à tout moment un véhicule enregistré dans le cadre du programme de recherche.
  • Tesla considère qu'un chercheur en sécurité autorisé et de bonne foi qui se conforme à la présente politique pour accéder à l'ordinateur d'un véhicule ou d'un produit énergétique enregistré dans le cadre du programme de recherche n'a pas accédé à l'ordinateur sans autorisation ou qu'il n'est pas sorti du cadre des autorisations d'accès en vertu de la Computer Fraud and Abuse Act (« CFAA »).
  • Tesla ne déposera aucune plainte pour violation des droits d'auteur en vertu de la loi Digital Millennium Copyright Act (« DMCA ») à l'encontre d'un chercheur en sécurité autorisé et de bonne foi qui contourne un mécanisme de sécurité, tant que le chercheur n'accède à aucun autre code ou binaire.
  • Tesla ne considérera pas que les modifications logicielles, résultant d'une recherche de sécurité effectuée de bonne foi par un chercheur en sécurité de bonne foi, et apportées à un véhicule enregistré dans le cadre du programme de recherche, annulent la garantie dudit véhicule enregistré, nonobstant le fait que tout dommage subit par le véhicule et découlant de toute modification logicielle ne sera pas couvert par Tesla dans le cadre de la garantie du véhicule.