Programme Bounty de Ledger

Obtenez des récompenses lorsque vous détectez des bugs

Ledger croit qu’une meilleure sécurité passe par l’apport de tous.

Nous suivons le principe de Kerckhoffs selon lequel les meilleurs systèmes de sécurité (tels que la cryptographie à clé privée) sont si solides que vous pouvez expliquer aux gens exactement comment ils fonctionnent, sans craindre que cela ne les compromette en aucune façon.

Certaines parties de notre code ne peuvent pas être publiées, mais ce n’est pas parce que notre sécurité repose sur leur confidentialité. Beaucoup d’entreprises avec lesquelles nous travaillons ont, à juste titre, certaines exigences légales et contractuelles qui nous empêchent de partager leur propriété intellectuelle.

En général, le fait de discuter publiquement de notre technologie permet aux gens de suggérer des améliorations, ce qui la rend encore meilleure.

Nous accueillons et apprécions les rapports sur les vulnérabilités techniques qui pourraient affecter de manière substantielle la confidentialité ou l’intégrité des données des utilisateurs sur les appareils Ledger.

Si vous pensez avoir découvert une telle vulnérabilité, l’équipe de sécurité de Ledger collaborera avec vous pour enquêter et résoudre le problème rapidement.

Les contributions externes de bonne foi révélant des vulnérabilités qui n’avaient pas déjà été identifiées seront récompensées.

En bref :

Les chercheurs externes en sécurité devraient :

• Travailler dans le respect des directives et règles de divulgation établies par l’équipe de sécurité de Ledger.
• Reconnaître que les contributions sortant du cadre des critères d’éligibilité peuvent ne pas être examinées.
• Respecter les principes de protection des données et la vie privée des utilisateurs. Faire en sorte, en toute bonne foi, de ne pas accéder aux données
• d’un autre utilisateur, ni de les détruire.
• Faire preuve de patience. Faire en sorte de clarifier, en toute bonne foi, les problèmes et soutenir l’équipe de sécurité de Ledger,
• sur simple demande.
• Ne pas nuire : signaler sans tarder les vulnérabilités découvertes. Ne jamais exploiter une vulnérabilité de façon volontaire et sans autorisation.

L’équipe de sécurité de Ledger se doit de :

• Donner la priorité à la sécurité. Faire un effort, en toute bonne foi, pour résoudre rapidement et de manière transparente les problèmes de sécurité signalés.
• Récompenser les recherches pertinentes et menées de bonne foi.
• Donner aux bénéficiaires du programme Bounty une reconnaissance publique pour leurs contributions, après accord des deux parties.
• Ne pas nuire : ne pas prendre de mesures punitives injustifiées à l’encontre des chercheurs, comme proférer des menaces juridiques ou saisir les forces de l’ordre.

Politique de divulgation responsable

Ledger pense que la divulgation coordonnée des vulnérabilités constitue la meilleure approche pour protéger les utilisateurs. Lorsque vous soumettez un rapport de vulnérabilité, vous entrez dans une sorte de coopération avec Ledger au sein de laquelle vous laissez la possibilité à Ledger de diagnostiquer puis de résoudre la vulnérabilité, avant de divulguer ses détails à des tiers et / ou au grand public.

En contrepartie, Ledger s’engage à ce que la responsabilité juridique des chercheurs en sécurité qui signalent des bugs ne soit pas engagée, pour autant qu’ils respectent les directives et principes de divulgation responsable.

Lorsqu’ils identifient des vulnérabilités potentielles, nous demandons à tous les chercheurs en sécurité de respecter les principes suivants :

• Ne pas réaliser des tests qui :
  • corrompent les systèmes informatiques et les produits de Ledger.
  • vous amènent, vous ou toute tierce partie, à accéder, stocker, partager ou détruire des données appartenant à Ledger ou à ses utilisateurs.
  • peuvent avoir un impact sur les utilisateurs de Ledger, comme en matière de déni de service, d’ingénierie sociale ou de spam.
• N’essayez pas d’attaquer notre infrastructure. Le but du programme Bounty est d’améliorer la sécurité des utilisateurs de Ledger, pas de mettre délibérément la communauté en danger.

Éligibilité

Il existe plusieurs types de bugs de sécurité qui sont acceptables dans le cadre de notre programme Bounty. En général, toute information contribuant de manière significative à améliorer la sécurité de nos produits sera éligible à recevoir une récompense. Les bugs relatifs à l’expérience utilisateur peuvent être récompensés, s’ils sont liés à la sécurité.

Bien que cette liste soit non exhaustive, les recherches sur les questions de sécurité suivantes sont susceptibles de recevoir une récompense :

• Des applications téléchargées sur un appareil Ledger qui rompent l’isolation. C’est-à-dire les applications (non signées) qui permettent de lire l’espace mémoire d’autres applications ou du noyau.
• Violation de la présomption de confidentialité de l’appareil Ledger (c’est-à-dire l’accès à des informations critiques telles que les phrases de récupération ou les clés privées).
• Contournement du code PIN.
• Exécution de code à distance.
• Amener l’utilisateur à confirmer des actions sans appuyer sur un bouton.
• Tromper l’utilisateur en modifiant les écrans (affichage des adresses, exécution d’applications non signées ou du système d’exploitation sans avertissement).

Certains bugs moins critiques peuvent également être récompensés, comme le plantage de l’appareil (à distance), l’effacement de manière inattendue des seeds, et toute action empêchant l’accès aux services Ledger.

Les vulnérabilités Web, à moins qu’elles n’affectent sérieusement les données des utilisateurs et les opérations commerciales, ne sont pas éligibles.

Les types de problèmes suivants ne sont pas inclus dans le programme Bounty :

• Bugs qui ne sont pas signalés et examinés de manière réactive. Il est important que les chercheurs en sécurité collaborent avec nos équipes internes, en toute bonne foi.
• Attaques par déni de service sur le site Web de Ledger.
• Attaques par déni de service sur nos nœuds ou toute partie de notre infrastructure.
• Bugs dans notre application Ledger Live pour l’ordinateur, sauf s’ils peuvent mener à des attaques sur les appareils Ledger.

Processus de soumission

Les rapports de soumission de vulnérabilité doivent inclure une description détaillée de votre découverte ainsi que des étapes claires et concises nous permettant de reproduire le problème, ou une preuve de concept fonctionnelle.

Les rapports de mauvaise qualité, comme ceux qui contiennent des informations insuffisantes pour mener une enquête, peuvent entraîner des retards importants dans le processus de divulgation, ce qui n’est dans l’intérêt de personne. Veuillez ne soumettre qu’un seul rapport par problème détecté.

Toutes les communications entre vous et Ledger doivent se faire via [email protected]. Assurez-vous de demander une clé GPG avant de soumettre des informations sur une vulnérabilité et toute autre donnée sensible.

N’utilisez pas d’email personnel, de compte de réseau social ou d’autres moyens privés pour contacter un membre de l’équipe de sécurité de Ledger concernant les vulnérabilités ou tout autre problème lié au programme Bounty, à moins que Ledger vous ait spécifiquement demandé de le faire.

L’équipe de sécurité de Ledger vous contactera, généralement dans les 24 heures.

Lorsque vous soumettez un rapport de vulnérabilité, vous acceptez de ne pas divulguer publiquement vos conclusions ou le contenu de votre rapport à des tiers, de quelque manière que ce soit, sans avoir obtenu l’approbation écrite de Ledger.

Correction et divulgation

Après vérification, nous vous enverrons un planning prévisionnel. Nous nous engageons à être aussi transparents que possible sur le calendrier de correction ainsi que sur les challenges qui pourraient l’allonger. Vous pouvez recevoir des mises à jour pour les événements importants, tels que la validation de la vulnérabilité, des demandes d’informations complémentaires ou la confirmation de votre éligibilité à la récompense.

Les chercheurs qui ont signalé un bug doivent laisser le temps à Ledger de diagnostiquer et de proposer des mises à jour, des solutions de contournement ou d’autres mesures correctives entièrement testées, avant que ne soient divulguées au public des informations détaillées sur les vulnérabilités ou les exploits.

Une fois que le problème de sécurité est résolu ou maîtrisé, l’équipe de sécurité de Ledger vous contactera. Avant toute annonce publique d’une vulnérabilité, et dans la mesure où la loi l’autorise, nous vous présenterons une description préliminaire de la vulnérabilité. En cas de désaccord, nous explorerons les possibilités de médiation.

Récompense

Vous pourriez être éligible à une récompense si : (i) vous êtes la première personne à soumettre une vulnérabilité donnée , (ii) cette vulnérabilité est considérée comme un problème de sécurité valide par l’équipe de sécurité de Ledger , et (iii) vous avez respecté la politique et les directives du programme Bounty de Ledger.

La décision d’accorder une récompense pour la découverte d’une vulnérabilité de sécurité valide est à la seule discrétion de Ledger. Le montant de chaque récompense Bounty est basé sur la classification et le caractère sensible des données concernées, mais aussi sur l’exhaustivité de votre rapport de soumission, la facilité de l’exploit, et le risque global pour les utilisateurs et la marque Ledger.

Les récompenses Bounty seront versées directement au chercheur avec Bitcoin.

Vous assumez également la responsabilité des impôts ou taxes liés au paiement des récompenses Bounty que vous recevrez, tels que déterminés par les lois de la juridiction dans laquelle vous résidez ou selon votre citoyenneté.

Pour être éligible à une récompense, vous ne devez pas :

• Être résident d’un pays contre lequel la France a émis des sanctions portant sur les exportations ou d’autres restrictions commerciales. Vous ne devez pas non plus soumettre votre vulnérabilité à partir d’un tel pays,
• Être en violation d’une quelconque loi ou réglementation nationale, régionale ou locale,
• Être employé par Ledger, ses filiales ou sociétés affiliées,
• Être un membre de la famille proche d’une personne employée par Ledger, par ses filiales ou par ses sociétés affiliées,
• Être âgé de moins de 18 ans. Si vous avez moins de 18 ans, ou si vous êtes considéré(e) comme mineur dans votre pays de résidence,
• vous devez obtenir l’autorisation de vos parents ou de votre tuteur légal avant de participer au programme.

Hall of Fame

D’un commun accord, nous pouvons, si vous le souhaitez, afficher le nom d’un chercheur ou son pseudonyme en tant que personne ayant découvert une vulnérabilité signalée sur le « Hall of Fame » de notre site Web.

Ledger se réserve le droit de supprimer les informations de contribution de toute personne qui, à un moment donné, ne respecte pas la politique et les directives du programme Bounty de Ledger.

Hall of Fame du programme Bounty de Ledger

• Timothée Isnard
• Saleem Rashid
• Sergei Volokitin

Ce programme de récompenses est expérimental et discrétionnaire. Nous nous réservons le droit de modifier les conditions de ce programme ou d’y mettre fin à tout moment et sans préavis.