Proton

Politique de divulgation des vulnérabilités

Dernière modification : 21 juillet 2023

Étant une entreprise fondée par des scientifiques qui se sont rencontrés au CERN, nous croyons à l'évaluation par d'autres scientifiques et chercheurs. C'est pourquoi nous soutenons la communauté indépendante de la sécurité pour nous aider à maintenir la sécurité de nos systèmes et à protéger les informations sensibles contre toute divulgation non autorisée. Nous encourageons les chercheurs en sécurité à nous contacter pour nous signaler les potentielles vulnérabilités détectées dans les produits Proton.

Cette politique précise :

  • Les systèmes et applications concernés
  • Les types de méthodes de recherche de sécurité concernés
  • La marche à suivre pour nous signaler d'éventuelles failles de sécurité
  • Notre philosophie en matière de divulgation des vulnérabilités et le temps que nous vous demanderons d'attendre avant de les rendre publiques

Proton accusera réception des signalements conformes à la politique de divulgation des vulnérabilités dans un délai de cinq (5) jours ouvrables. Dès réception, nous nous efforcerons de valider les soumissions, de mettre en œuvre des actions correctives (le cas échéant) et d'informer les chercheurs de la suite donnée aux vulnérabilités signalées, dans les meilleurs délais.

Si vous essayez de bonne foi de vous conformer à cette politique lors de votre recherche de sécurité, nous considérerons que votre recherche est autorisée par la politique de sphère de sécurité (safe harbor) de Proton. Nous travaillerons avec vous pour comprendre et résoudre rapidement le problème et aucune action en justice ne sera recommandée ou engagée à votre encontre pour une ou plusieurs de vos actions liées à votre recherche.

Méthodes de test

Les chercheurs en sécurité ne doivent pas :

  • Tester un système qui ne figure pas dans la section « Champ d'application » ci-dessous.
  • Divulguer des informations sur les vulnérabilités, sauf dans les cas prévus aux sections « Signalement d'une vulnérabilité » et « Divulgation » ci-dessous.
  • Procéder à des tests physiques d'installations ou de ressources.
  • Pratiquer l'ingénierie sociale.
  • Envoyer des e-mails non sollicités aux utilisateurs de Proton, y compris des messages de type phishing (hameçonnage).
  • Exécuter ou tenter d'exécuter des attaques par « déni de service » ou « épuisement des ressources ».
  • Introduire des logiciels malveillants dans les systèmes de Proton ou de tout autre tiers.
  • Effectuer des tests qui pourraient dégrader le fonctionnement des systèmes de Proton ou altérer, perturber ou désactiver intentionnellement les systèmes de la SEC.
  • Tester les applications, sites internet ou services de tiers qui s'intègrent aux systèmes Proton ou qui y sont liés.
  • Supprimer, modifier, partager, conserver, détruire ou rendre inaccessibles les données de Proton.
  • Utiliser un exploit pour extraire des données, établir un accès en ligne de commande, établir une présence persistante sur les systèmes Proton ou effectuer un « pivoting » vers d'autres systèmes Proton.

Les chercheurs en sécurité peuvent :

  • Consulter ou stocker les données non publiques de Proton uniquement dans la limite nécessaire pour documenter la présence d'une vulnérabilité potentielle.

Les chercheurs en sécurité doivent :

  • Arrêter leur test et nous informer immédiatement en cas de découverte d'une vulnérabilité.
  • Arrêter leur test et nous informer immédiatement en cas de découverte d'une exposition de données non publiques.
  • Supprimez toutes les données non publiques stockées après avoir signalé une vulnérabilité.

Champ d'application

Les systèmes et services suivants sont concernés :

  • Notre site internet, proton.me
  • L'application web mail.proton.me
  • L'application web calendar.proton.me
  • L'application web drive.proton.me
  • L'application web account.proton.me
  • L'application web de Proton Mail
  • Les applications Android et iOS de Proton Mail
  • api.protonmail.ch
  • Proton Drive
  • Les applications Windows et Android de Proton Drive
  • L'application iOS/iPad de Proton Drive (en version bêta)
  • Proton Calendar
  • L'application iOS/iPad de Proton Calendar (en version bêta)
  • Proton Calendar
  • Proton VPN
  • SimpleLogin
  • Notre site internet VPN, protonvpn.com
  • account.protonvpn.com
  • api.protonvpn.ch
  • Les applications Windows, macOS, Linux, iOS/iPad et Android de Proton VPN
  • Proton Bridge pour Windows, macOS et GNU/Linux
  • Proton Pass
  • Les applications mobiles de Proton Pass (Android et iOS)
  • Les extensions web de Proton Pass

Tout service qui n'est pas explicitement listé ci-dessus est exclu du champ d'application de cette politique. Pour plus de clarté, cela inclut, sans s'y limiter :

  • Les indésirables/spam
  • Les techniques d'ingénierie sociale
  • Les attaques par déni de service
  • L'injection de contenu est exclue, sauf si vous pouvez démontrer clairement un risque important pour Proton ou ses utilisateurs
  • L'exécution de scripts sur des domaines isolés (sandbox)
  • Les rapports de plantage d'applications mobiles qui ne sont pas reproductibles sur des versions actualisées du système d'exploitation ou des appareils mobiles mis sur le marché au cours des deux (2) dernières années civiles
  • Les problèmes de sécurité qui sortent du cadre de la mission de Proton
  • Les bugs pour lesquels les interactions avec l'utilisateur sont très improbables
  • Les bugs de WordPress (mais vous pouvez les signaler à WordPress)
  • Les bugs sur shop.proton.me (nous vous invitons à les signaler à Shopify)
  • Les bugs sur proton.me/support/contact, protonmail.zendesk.com, support.protonmail.com et help.protonmail.com (nous vous invitons à les signaler à Zendesk)
  • Les bugs sur status.proton.me (nous vous invitons à les signaler à Atlassian)
  • Les preuves de concept qui nécessitent un accès physique à l'appareil
  • Les logiciels obsolètes (pour diverses raisons, nous n'utilisons pas toujours les versions les plus récentes des logiciels, mais nous utilisons des logiciels entièrement corrigés)
  • Les failles qui affectent les navigateurs obsolètes

Signalement d'une vulnérabilité

Les signalements sont acceptés par e-mail à l'adresse security@proton.me. Les formats de message acceptés sont le texte brut, le texte enrichi et le HTML. Nous vous encourageons à chiffrer vos soumissions en utilisant notre clé publique PGP lorsque vous nous communiquez des vulnérabilités.

  • Nous préférons les signalements qui incluent un code de preuve de concept démontrant l'exploitation de la vulnérabilité.
  • Les signalements doivent fournir une description technique détaillée des étapes nécessaires pour reproduire la vulnérabilité, y compris une description de tout outil nécessaire pour identifier ou exploiter la vulnérabilité.
  • Des images (comme des captures d'écran) et d'autres documents peuvent être joints aux signalements. Nommer les pièces jointes de façon illustrative est très utile.
  • Nous demandons que tout script ou code d'exploitation soit intégré dans des types de fichiers non exécutables.
  • Nous pouvons traiter tous les types de fichiers et d'archives courants, y compris zip, 7zip et gzip.

Les chercheurs peuvent soumettre des signalements de façon anonyme ou fournir des informations de contact, y compris comment et quand l'équipe en charge de la sécurité de Proton doit les contacter. Nous pouvons être amenés à contacter les chercheurs pour clarifier certains aspects du signalement transmis ou pour recueillir d'autres informations techniques.

En soumettant un signalement à Proton, vous confirmez que le signalement et toute pièce jointe ne violent pas les droits de propriété intellectuelle d'un tiers. Vous accordez également à Proton une licence non exclusive, libre de droits, mondiale et perpétuelle pour utiliser, reproduire, créer des travaux dérivés et publier le signalement et toute pièce jointe.

Divulgation

Proton s'engage à corriger rapidement les vulnérabilités. Nous travaillerons assidûment pour résoudre tous les problèmes qui mettent notre communauté en danger. Nous demandons aux chercheurs d'être patients pendant que nous examinons les signalements soumis, car la divulgation publique d'une vulnérabilité sans mesure corrective disponible augmente le risque pour la sécurité de notre communauté au lieu de le diminuer.

Par conséquent, nous vous demandons de ne partager aucune information sur les vulnérabilités découvertes pendant 120 jours civils après avoir reçu notre accusé de réception de votre signalement. Si vous pensez que d'autres personnes doivent être informées de la vulnérabilité avant que nous mettions en œuvre des actions correctives, vous devez vous coordonner à l'avance avec l'équipe de sécurité de Proton.

Nous pouvons partager les signalements de vulnérabilité avec les fournisseurs concernés. Nous ne partagerons pas les noms ou les données de contact des chercheurs en sécurité, sauf autorisation explicite.

Vous avez des questions ?

Vous pouvez envoyer vos questions à security@proton.me. Nous encourageons les chercheurs en sécurité à nous contacter pour toute précision.

Nous vous invitons à nous contacter avant de commencer les tests en cas de doute sur la compatibilité ou la non-conformité d'une méthode de test spécifique avec cette politique. Nous invitons aussi les chercheurs en sécurité à nous contacter avec des suggestions pour améliorer cette politique.