Proton

Programme de recherche de bugs Proton

La communauté Proton fait confiance à nos services pour protéger ses informations. Nous prenons cette confiance très au sérieux, c'est pourquoi nous nous engageons à travailler avec la communauté des chercheurs en sécurité pour identifier, vérifier et résoudre les potentielles vulnérabilités.

Si vous êtes chercheur en sécurité, vous pouvez participer à renforcer la sécurité des services Proton, être reconnu comme contributeur en matière de sécurité et peut-être gagner une récompense. Et vous contribuerez à la construction d'un meilleur internet où la confidentialité est la norme.

Portée et règles du programme de prime aux bogues

Avant de signaler une vulnérabilité dans le cadre du programme de recherche de bugs Proton, nous vous invitons à lire ces documents :

  • Notre politique de divulgation des vulnérabilités décrit les méthodes de test acceptées dans le cadre du programme.

  • Notre politique de sphère de sécurité (safe harbor) explique les tests et les actions qui sont protégés de toute responsabilité quand vous signalez des vulnérabilités dans le cadre du programme de recherche de bugs Proton.

Lire la politique de divulgation des vulnérabilités
En savoir plus sur la Politique de sphère de sécurité (safe harbor)

Comment signaler une vulnérabilité ?

Vous pouvez envoyer vos rapports de vulnérabilité par e-mail à security@proton.me, en utilisant du texte en clair, du texte riche ou du HTML.

Si vous n'utilisez pas Proton Mail, nous vous recommandons de chiffrer vos envois à l'aide de notre clé publique PGP.

Vulnérabilités admissibles

Nous considérerons probablement, dans le cadre de notre programme de prime aux bogues, tout problème de conception ou de mise en œuvre qui affecte considérablement la confidentialité ou l'intégrité des données des utilisateurs. Ceci inclut (sans s'y limiter) :

Applications web

  • Cross-site scripting

  • Scripts à contenu mixte

  • Cross-site request forgery

  • Défauts d'authentification ou d'autorisation

  • Bugs d'exécution de code au niveau du serveur

  • Vulnérabilités de l'API REST

Applications de bureau

  • Exécution de code à distance via les applications Proton

  • Fuite de données locales, d'identifiants ou d'informations du trousseau

  • Faiblesses d'authentification et d'autorisation

  • Mécanismes de mise à jour ou de signature de code non sécurisés

  • Vulnérabilités d'élévation de privilèges locale

Applications mobiles

  • Faille de sécurité des données locales mobiles

  • Défauts d'authentification ou d'autorisation

  • Bugs d'exécution de code au niveau du serveur

Serveurs

  • Escalade de privilèges

  • Exploits SMTP (par exemple, les relais ouverts)

  • Accès shell non autorisé

  • Accès API non autorisé

Exclusions de la portée

Veuillez consulter notre politique de divulgation des vulnérabilités.

Évaluation des soumissions et détermination des récompenses

Nous reconnaissons et récompensons la recherche en sécurité menée de bonne foi conformément à cette politique.

Les montants des primes sont évalués au cas par cas par notre jury, qui se compose de membres des équipes de sécurité et d'ingénierie de Proton. Ce jury prend toutes les décisions finales concernant l'attribution des primes, et les participants doivent accepter de respecter ces décisions.

La gravité de l'impact sur les données des utilisateurs de Proton est le principal facteur dans la détermination des montants des récompenses. Les chiffres indiqués ci-dessous représentent les fourchettes de récompenses standard. Les paiements réels peuvent varier en fonction de facteurs tels que :

  • Prérequis : si l'exploitation dépend d'exigences supplémentaires au-delà de la vulnérabilité elle-même, par exemple :

    • Paramètres utilisateur peu courants – dépend de configurations ou de paramètres utilisateur atypiques.
    • Configurations autres que celles par défaut – nécessite que le logiciel Proton soit configuré de manière non standard.
    • Fiabilité de l'exploit – le succès est aléatoire, par exemple, un succès non déterministe, en raison de conditions de concurrence, de faibles taux de réussite de l'exécution de code à distance (RCE).
    • État de l'appareil local – nécessite des privilèges élevés, un appareil débridé (jailbreaké)/rooté et/ou un accès physique.
    • Conditions environnementales ou de réseau – dépend de conditions externes rares ou improbables.

  • Portée de l'impact : La mesure dans laquelle la confidentialité, l'intégrité ou la disponibilité de nos services peuvent être affectées.

  • Valeur de la chaîne d'exploitation : Si le problème peut contribuer à une chaîne de vulnérabilités plus large.

  • Exploitabilité : La probabilité que le problème puisse être utilisé dans une attaque réelle.

  • Nouveauté : Que le problème soit nouveau, déjà signalé ou déjà public ; seule la première soumission valide est éligible.

  • Qualité de la soumission : Doit inclure une preuve de concept reproductible ou une méthode claire montrant l'impact. Le code ou le pseudo-code est vivement préférable.

Dans des cas exceptionnels, les récompenses peuvent être augmentées jusqu'au montant de la récompense maximale.

Montant des récompenses

  • Récompense maximale : 100 000 USD

  • Gravité critique : de 25 000 USD à 50 000 USD

    Découverte d'une vulnérabilité qui permet un contrôle total, durable et non autorisé de l'environnement du service, ou qui compromet la confidentialité ou l'intégrité des données de tous les utilisateurs, sans nécessiter de conditions particulières ou d'accès préalable.

  • Gravité élevée : de 2 500 USD à 25 000 USD

    Découverte d'une vulnérabilité qui permet un contrôle durable et non autorisé d'une grande partie de l'environnement du service, ou une violation importante de la confidentialité ou de l'intégrité des données affectant un grand groupe d'utilisateurs — sans nécessiter de conditions particulières ou d'accès préalable — mais sans toutefois compromettre entièrement le service.

  • Gravité moyenne : de 1 000 USD à 2 500 USD

    Découverte d'une vulnérabilité qui permet un contrôle non autorisé sur une partie de l'environnement du service, ou qui compromet l'intégrité ou la confidentialité des données d'un seul utilisateur ou d'un petit groupe. Alternativement, les vulnérabilités ayant un impact plus large qui nécessitent une interaction importante de l'utilisateur ou des conditions spécifiques, mais qui entraînent tout de même l'exposition de données ou de contrôles sensibles.

  • Gravité faible : au cas par cas, pas de récompense monétaire par défaut

    Découverte d'une vulnérabilité avec un impact limité ou dans des conditions improbables.

Conditions d'éligibilité

Les découvertes qui décrivent un comportement intentionnel, des recommandations théoriques ou de bonnes pratiques sans voie d'exploitation concrète ne sont pas éligibles. Le premier rapporteur valide de chaque vulnérabilité éligible reçoit le paiement correspondant après que Proton a confirmé le problème et déployé un correctif.

Vous avez des questions 

Vous pouvez envoyer vos questions à security@proton.me. Nous encourageons les chercheurs en sécurité à nous contacter pour toute précision.

Avant de commencer les tests, nous vous invitons à nous contacter si vous avez des doutes sur le fait qu'une méthode de test spécifique est incompatible ou n'est pas prise en compte par notre programme de recherche de bugs. Nous invitons aussi les chercheurs en sécurité à nous contacter avec des suggestions pour améliorer cette politique.

Contactez-nous