Programme de recherche de bugs Proton
La communauté Proton fait confiance à nos services pour protéger ses informations. Nous prenons cette confiance très au sérieux, c'est pourquoi nous nous engageons à travailler avec la communauté des chercheurs en sécurité pour identifier, vérifier et résoudre les potentielles vulnérabilités.
Si vous êtes chercheur en sécurité, vous pouvez participer à renforcer la sécurité des services Proton, être reconnu comme contributeur en matière de sécurité et peut-être gagner une récompense. Vous participerez aussi à la création d'un meilleur internet qui respecte la vie privée.
Périmètre et règles du programme de recherche de bugs
Avant de signaler une vulnérabilité dans le cadre du programme de recherche de bugs Proton, nous vous invitons à lire ces documents :
- Notre politique de divulgation des vulnérabilités décrit les méthodes de test acceptées dans le cadre du programme.
- Notre politique de sphère de sécurité (safe harbor) explique les tests et les actions qui sont protégés de toute responsabilité quand vous signalez des vulnérabilités dans le cadre du programme de recherche de bugs Proton.
Nous expliquons ci-dessous quelles sont les vulnérabilités qui peuvent bénéficier de notre programme de recherche de bugs et comment elles sont évaluées.
Comment signaler une vulnérabilité ?
Vous pouvez envoyer vos rapports de vulnérabilité par e-mail à security@proton.me, en utilisant du texte en clair, du texte riche ou du HTML.
Si vous n'utilisez pas Proton Mail, nous vous recommandons de chiffrer vos envois à l'aide de notre clé publique PGP.
Décision
Notre jury pour le programme de recherche de bugs se compose de membres de l'équipe de la sécurité et de l'ingénierie de Proton. Ce jury prend toutes les décisions finales concernant les récompenses et les participants doivent accepter de les respecter. Voici les éléments pris en compte par ce jury :
- Le niveau de gravité de la soumission et la manière dont elle pourrait affecter la portée, la confidentialité, l'intégrité ou la disponibilité de nos services.
- La nécessité ou non d'une action humaine ou de privilèges sur l'appareil.
- La qualité de la soumission : nous privilégions les preuves de concept qui incluent du code ou du pseudo-code démontrant clairement la vulnérabilité signalée.
- La probabilité que le scénario signalé soit utilisé dans un exploit.
- Si le scénario a déjà été signalé ou s'il est connu du public : seule la première soumission d'une vulnérabilité est prise en compte pour une récompense.
- Les normes et les meilleures pratiques de l'industrie de la sécurité logicielle.
Vulnérabilités admissibles
Tout problème de conception ou de mise en œuvre qui affecte fortement la confidentialité ou l'intégrité des données des utilisateurs sera certainement considéré comme faisant partie du champ d'application de notre programme de recherche de bugs. Ceci inclut (sans s'y limiter) :
Applications web
- Cross-site scripting
- Cross-site request forgery
- Scripts à contenu mixte
- Défauts d'authentification ou d'autorisation
- Bugs d'exécution de code au niveau du serveur
- Vulnérabilités de l'API REST
Serveur
- Exploits SMTP (relais ouverts et autres)
- Accès shell non autorisé
- Accès API non autorisé
- Escalade de privilèges
Mobile
- Défauts d'authentification ou d'autorisation
- Bugs d'exécution de code au niveau du serveur
- Fuites de données locales mobiles (sans rooting)
Améliorations admissibles
Nous accordons parfois des récompenses pour des suggestions qui n'entrent dans aucune des catégories listées. Cette décision est prise au cas par cas, à l'entière discrétion de notre jury. Ces améliorations peuvent concerner :
- Amélioration de la configuration des serveurs de messagerie ou des serveurs web
- Configurations du pare-feu
- Amélioration des protections DoS et DDoS
- Divulgation de chemins d'accès et d'informations
- Problèmes concernant le blog ou les pages support de Proton Mail (comme des vulnérabilités de WordPress ou de plugins non corrigées)
Vulnérabilités non admissibles
- Les failles qui affectent les navigateurs obsolètes
- Les problèmes de sécurité qui sortent du cadre de la mission de Proton
- Phishing (hameçonnage) ou attaques d'ingénierie sociale
- Bugs pour lesquels les interactions avec l'utilisateur sont très improbables
- Bugs de WordPress (mais merci de les signaler à WordPress)
- Logiciels obsolètes (pour diverses raisons, nous n'utilisons pas toujours les versions les plus récentes des logiciels, mais nous utilisons des logiciels entièrement corrigés)
Montant des récompenses
Nous récompensons les travaux de recherche sur la sécurité qui respectent les directives du programme. Le montant de la prime que nous versons est décidé par notre jury, au cas par cas. Ce montant dépend essentiellement de la gravité du problème signalé.
- Récompense maximale : 10 000 €
- Vulnérabilités mineures des serveurs et des applications web qui ne compromettent pas les données des utilisateurs : 50 €
- Vulnérabilités de moindre gravité entraînant la fuite d'informations personnelles comme l'adresse IP : 50 €
- Vulnérabilités de gravité moyenne pouvant entraîner la divulgation d'informations personnelles : 200 €
- Vulnérabilités pouvant conduire à la corruption de données : 200 €
- Vulnérabilités pouvant entraîner la divulgation de données chiffrées de l'utilisateur : plus de 1 000 €
Vous avez des questions ?
Vous pouvez envoyer vos questions à security@proton.me. Nous encourageons les chercheurs en sécurité à nous contacter pour toute précision.
Avant de commencer les tests, nous vous invitons à nous contacter si vous avez des doutes sur le fait qu'une méthode de test spécifique est incompatible ou n'est pas prise en compte par notre programme de recherche de bugs. Nous invitons aussi les chercheurs en sécurité à nous contacter avec des suggestions pour améliorer cette politique.