Protéger ProtonVPN en toute sécurité

Comme avec ProtonMail, nous avons construit ProtonVPN en mettant l’accent sur la sécurité. Aujourd’hui, nous lançons un programme Bug Bounty pour améliorer encore la sécurité de ProtonVPN.

Lors de l’exploitation d’un service VPN, la sécurité est requise non seulement pour les connexions VPN et les protocoles eux-mêmes. La sécurité est également nécessaire pour l’infrastructure de serveur sous-jacente, les pages Web et les tableaux de bord, les applications VPN elles-mêmes, le système de paiement, ainsi que les bases de données utilisateur. Pour protéger correctement la confidentialité des utilisateurs, nous devons protéger tous les aspects du service contre les compromis.


Dans la création de ProtonVPN, nous nous sommes appuyés sur l’expertise en matière de sécurité que nous avons acquise en gérant le plus grand service de messagerie électronique sécurisé au monde. Nous avons également collaboré avec les contributeurs à la sécurité de ProtonMail et la communauté au sens large pour renforcer tous les aspects de ProtonVPN. Récemment, nous avons collaboré avec Mazin Ahmed, un contributeur de longue date à la sécurité de ProtonMail, pour effectuer un audit de sécurité complet de ProtonVPN et ajouter un renforcement supplémentaire..

Notre programme de primes aux bogues nous permet d’étendre le travail que nous faisons déjà quotidiennement pour protéger les utilisateurs de ProtonVPN. Pour cette raison, maintenant que ProtonVPN a été officiellement lancé, l’une des premières choses que nous faisons est de lancer le programme de prime aux bogues ProtonVPN. Avec ce programme, nous invitons des experts en sécurité du monde entier pour essayer de trouver des faiblesses dans ProtonVPN, et nous paierons des récompenses (primes) pour les problèmes de sécurité qui nous sont signalés par le biais de ce programme. Si vous êtes un chercheur en sécurité, vous pouvez également participer au programme ProtonMail Bug Bounty.

Programme de prime aux bogues ProtonVPN

Règles

Portée: Le programme est limité aux serveurs et aux applications Web, de bureau et mobiles gérés par ProtonVPN. Nos profils sur Facebook, Twitter, Linkedin, Eventbrite, etc. ne sont pas éligibles. Les sites éligibles incluent:

  • protonvpn.com
  • account.protonvpn.com
  • api.protonvpn.ch [Remarque: .ch et non .com]

Les applications ProtonVPN sur Windows, MacOS, Linux, iOS et Android sont également incluses dans ce programme.

Jugement: Le jury pour déterminer les récompenses se compose de développeurs ProtonVPN et ProtonMail assistés par un ou plusieurs experts externes qui font partie de notre groupe de sécurité. Les participants au programme s’engagent à respecter la décision finale prise par les juges.

Divulgation responsable: Nous demandons que toutes les vulnérabilités nous soient signalées à [email protected]. Nous pensons qu’il est contraire à l’esprit de ce programme de divulguer la faille à des tiers à des fins autres que la correction du bogue. Les participants acceptent de ne divulguer les bogues trouvés qu’après leur correction et de coordonner la divulgation avec notre équipe via nos notes de version pour éviter toute confusion.

Tests responsables:  Veuillez ne pas pirater les comptes d’utilisateurs, les bases de données corrompues ou les fuites de données qui pourraient être sensibles. Nous déconseillons également les tests de vulnérabilité qui dégradent la qualité de service pour nos utilisateurs. En cas de doute, n’hésitez pas à contacter notre équipe de sécurité à [email protected]

Respect des règles: En participant à ce programme, vous acceptez de respecter les règles et conditions ci-dessus. Toutes les règles doivent être suivies pour être éligibles aux récompenses.

Vulnérabilités éligibles

Tout problème de conception ou de mise en œuvre qui affecte considérablement la confidentialité ou l’intégrité des données utilisateur est susceptible d’être à la portée du programme. Cela comprend, mais sans s’y limiter:

Des applications Web

  • Scriptage intersite
  • Falsification de demande intersite
  • Scripts à contenu mixte
  • Défauts d’authentification ou d’autorisation
  • Bogues d’exécution de code côté serveur
  • Vulnérabilités de l’API REST

Serveur

  • Accès shell non autorisé
  • Escalade de privilèges
  • Exécution de code à distance

Applications

  • Défauts d’authentification ou d’autorisation
  • Atteinte à la sécurité des données locales (sans enracinement)

Nous croyons en la collaboration étroite avec les chercheurs en sécurité et sommes prêts à partager des détails techniques tels que les spécifications de l’API, le code source ou les détails de l’infrastructure avec des chercheurs sélectionnés dans le but d’améliorer la sécurité de tous les utilisateurs de ProtonMail. S’il vous plaît contactez [email protected] pour plus de détails.

Améliorations admissibles

Parfois, des primes sont accordées pour des suggestions d’amélioration qui n’entrent dans aucune des catégories ci-dessus. Ceci est déterminé au cas par cas par notre équipe. Il s’agit notamment de choses telles que:

  • Améliorations de la configuration du serveur
  • Configurations de pare-feu
  • Amélioration des sauvegardes DoS / DDoS
  • Chemin d’accès / divulgation d’informations

Vulnérabilités non admissibles

  • Défauts affectant les navigateurs obsolètes (désolé, les problèmes de sécurité IE6 ne sont pas éligibles)
  • Problèmes de sécurité ne relevant pas du modèle de menace de ProtonVPN
  • Attaques par hameçonnage ou ingénierie sociale
  • Bogues nécessitant des interactions utilisateur extrêmement improbables
  • Bogues WordPress (mais veuillez les signaler à WordPress)
  • Logiciels obsolètes – Pour diverses raisons, nous n’exécutons pas toujours les versions logicielles les plus récentes, mais nous exécutons des logiciels entièrement corrigés
  • Bogues logiciels dans OpenVPN ou IKEv2 (mais veuillez les signaler à leurs auteurs)

Montants des récompenses

La taille de la prime que nous payons est déterminée au cas par cas et dépend en grande partie de la gravité du problème. Pour recevoir une prime, vous devez généralement être la première personne à signaler un problème, bien que parfois des exceptions soient faites. Les directives concernant les primes approximatives sont fournies ci-dessous:

Vulnérabilités mineures du serveur et des applications qui ne compromettent pas les données des utilisateurs ou la confidentialité: 50 $
Vulnérabilités pouvant entraîner une corruption des données: 200 $
Vulnérabilités pouvant conduire à la divulgation de données utilisateur ou menacer la confidentialité des utilisateurs: 1 000 $+
Prime maximale: 10 000 $

Lignes directrices sur les rapports

Veuillez signaler les problèmes à [email protected]. Les problèmes doivent être signalés avec des instructions claires sur la façon de reproduire le problème et / ou la preuve de concept.

Meilleures salutations,
L’équipe Proton Technologies

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map