Programme Bounty de Ledger

Obtenez des récompenses lorsque vous détectez des bugs

Ledger croit qu’une meilleure sécurité passe par l’apport de tous.

Nous suivons le principe de Kerckhoffs selon lequel les meilleurs systèmes de sécurité (tels que la cryptographie à clé privée) sont si solides que vous pouvez expliquer aux gens exactement comment ils fonctionnent, sans craindre que cela ne les compromette en aucune façon.

Certaines parties de notre code ne peuvent pas être publiées, mais ce n’est pas parce que notre sécurité repose sur leur confidentialité. Beaucoup d’entreprises avec lesquelles nous travaillons ont, à juste titre, certaines exigences légales et contractuelles qui nous empêchent de partager leur propriété intellectuelle.

En général, le fait de discuter publiquement de notre technologie permet aux gens de suggérer des améliorations, ce qui la rend encore meilleure.

Nous accueillons et apprécions les rapports sur les vulnérabilités techniques qui pourraient affecter de manière substantielle la confidentialité ou l’intégrité des données des utilisateurs sur les appareils Ledger.

Si vous pensez avoir découvert une telle vulnérabilité, l’équipe de sécurité de Ledger collaborera avec vous pour enquêter et résoudre le problème rapidement.

Les contributions externes de bonne foi révélant des vulnérabilités qui n’avaient pas déjà été identifiées seront récompensées.

En bref :

Les chercheurs externes en sécurité devraient :

L’équipe de sécurité de Ledger se doit de :

Politique de divulgation responsable

Ledger pense que la divulgation coordonnée des vulnérabilités constitue la meilleure approche pour protéger les utilisateurs. Lorsque vous soumettez un rapport de vulnérabilité, vous entrez dans une sorte de coopération avec Ledger au sein de laquelle vous laissez la possibilité à Ledger de diagnostiquer puis de résoudre la vulnérabilité, avant de divulguer ses détails à des tiers et / ou au grand public.

En contrepartie, Ledger s’engage à ce que la responsabilité juridique des chercheurs en sécurité qui signalent des bugs ne soit pas engagée, pour autant qu’ils respectent les directives et principes de divulgation responsable.

Lorsqu’ils identifient des vulnérabilités potentielles, nous demandons à tous les chercheurs en sécurité de respecter les principes suivants :

Éligibilité

Il existe plusieurs types de bugs de sécurité qui sont acceptables dans le cadre de notre programme Bounty. En général, toute information contribuant de manière significative à améliorer la sécurité de nos produits sera éligible à recevoir une récompense. Les bugs relatifs à l’expérience utilisateur peuvent être récompensés, s’ils sont liés à la sécurité.

Bien que cette liste soit non exhaustive, les recherches sur les questions de sécurité suivantes sont susceptibles de recevoir une récompense :

Certains bugs moins critiques peuvent également être récompensés, comme le plantage de l’appareil (à distance), l’effacement de manière inattendue des seeds, et toute action empêchant l’accès aux services Ledger.

Les vulnérabilités Web, à moins qu’elles n’affectent sérieusement les données des utilisateurs et les opérations commerciales, ne sont pas éligibles.

Les types de problèmes suivants ne sont pas inclus dans le programme Bounty :

Processus de soumission

Les rapports de soumission de vulnérabilité doivent inclure une description détaillée de votre découverte ainsi que des étapes claires et concises nous permettant de reproduire le problème, ou une preuve de concept fonctionnelle.

Les rapports de mauvaise qualité, comme ceux qui contiennent des informations insuffisantes pour mener une enquête, peuvent entraîner des retards importants dans le processus de divulgation, ce qui n’est dans l’intérêt de personne. Veuillez ne soumettre qu’un seul rapport par problème détecté.

Toutes les communications entre vous et Ledger doivent se faire via [email protected]. Assurez-vous de demander une clé GPG avant de soumettre des informations sur une vulnérabilité et toute autre donnée sensible.

N’utilisez pas d’email personnel, de compte de réseau social ou d’autres moyens privés pour contacter un membre de l’équipe de sécurité de Ledger concernant les vulnérabilités ou tout autre problème lié au programme Bounty, à moins que Ledger vous ait spécifiquement demandé de le faire.

L’équipe de sécurité de Ledger vous contactera, généralement dans les 24 heures.

Lorsque vous soumettez un rapport de vulnérabilité, vous acceptez de ne pas divulguer publiquement vos conclusions ou le contenu de votre rapport à des tiers, de quelque manière que ce soit, sans avoir obtenu l’approbation écrite de Ledger.

Correction et divulgation

Après vérification, nous vous enverrons un planning prévisionnel. Nous nous engageons à être aussi transparents que possible sur le calendrier de correction ainsi que sur les challenges qui pourraient l’allonger. Vous pouvez recevoir des mises à jour pour les événements importants, tels que la validation de la vulnérabilité, des demandes d’informations complémentaires ou la confirmation de votre éligibilité à la récompense.

Les chercheurs qui ont signalé un bug doivent laisser le temps à Ledger de diagnostiquer et de proposer des mises à jour, des solutions de contournement ou d’autres mesures correctives entièrement testées, avant que ne soient divulguées au public des informations détaillées sur les vulnérabilités ou les exploits.

Une fois que le problème de sécurité est résolu ou maîtrisé, l’équipe de sécurité de Ledger vous contactera. Avant toute annonce publique d’une vulnérabilité, et dans la mesure où la loi l’autorise, nous vous présenterons une description préliminaire de la vulnérabilité. En cas de désaccord, nous explorerons les possibilités de médiation.

Récompense

Vous pourriez être éligible à une récompense si : (i) vous êtes la première personne à soumettre une vulnérabilité donnée , (ii) cette vulnérabilité est considérée comme un problème de sécurité valide par l’équipe de sécurité de Ledger , et (iii) vous avez respecté la politique et les directives du programme Bounty de Ledger.

La décision d’accorder une récompense pour la découverte d’une vulnérabilité de sécurité valide est à la seule discrétion de Ledger. Le montant de chaque récompense Bounty est basé sur la classification et le caractère sensible des données concernées, mais aussi sur l’exhaustivité de votre rapport de soumission, la facilité de l’exploit, et le risque global pour les utilisateurs et la marque Ledger.

Les récompenses Bounty seront versées directement au chercheur avec Bitcoin.

Vous assumez également la responsabilité des impôts ou taxes liés au paiement des récompenses Bounty que vous recevrez, tels que déterminés par les lois de la juridiction dans laquelle vous résidez ou selon votre citoyenneté.

Pour être éligible à une récompense, vous ne devez pas :

Hall of Fame

D’un commun accord, nous pouvons, si vous le souhaitez, afficher le nom d’un chercheur ou son pseudonyme en tant que personne ayant découvert une vulnérabilité signalée sur le « Hall of Fame » de notre site Web.

Ledger se réserve le droit de supprimer les informations de contribution de toute personne qui, à un moment donné, ne respecte pas la politique et les directives du programme Bounty de Ledger.

Hall of Fame du programme Bounty de Ledger

Ce programme de récompenses est expérimental et discrétionnaire. Nous nous réservons le droit de modifier les conditions de ce programme ou d’y mettre fin à tout moment et sans préavis.