30 nouveaux iPhone 17 Pro. 30 jours. Une inscription pour participer. Prochain tirage dans :

30 iPhone 17 Pro neufs Ă  gagner ! Inscris-toi pour participer

Participer maintenant
Iphone Top Banner Desktop OptimizedIphone Top Banner Mobile Optimized

Le programme de chasse aux bugs d'ExpressVPN

ExpressVPN exploite des milliers de serveurs VPN et propose des applications VPN multiplateformes pour tous les principaux systĂšmes d'exploitation de bureau et de smartphones, les extensions de navigateur, ainsi que pour les routeurs.

La sĂ©curitĂ© est au cƓur de nos prioritĂ©s et nous apprĂ©cions la contribution de hackers Ă©thiques afin de nous aider Ă  maintenir un niveau Ă©levĂ© de sĂ©curitĂ© et de protection de la vie privĂ©e de nos utilisateurs. Nous encourageons notamment la recherche et la divulgation responsables de vulnĂ©rabilitĂ©s.

Nous proposons depuis des années un programme interne de primes à la détection de bogues et avons versé des milliers de dollars à des chercheurs en sécurité au cours de cette période. Nous accordons une grande importance à l'excellence de l'ingénierie et sommes toujours à la recherche de moyens d'améliorer la sécurité de nos produits et services.

Signaler un Bug

Obtenez des récompenses grùce à notre programme de primes aux bugs.
  • Information sur les cibles
  • SphĂšre de sĂ©curitĂ©
  • Prime unique de 100 000 $
  • Comment soumettre un rapport
  • Information sur les cibles
  • SphĂšre de sĂ©curitĂ©
  • Prime unique de 100 000 $
  • Comment soumettre un rapport

Information sur les cibles

Champ d'application

Les produits et services suivants sont concernés :

Focalisation

Nous nous intéressons particuliÚrement aux :

  • failles dans nos applications client, plus particuliĂšrement les failles qui conduiraient Ă  une Ă©lĂ©vation des privilĂšges utilisateur,
  • tout sorte d'accĂšs non autorisĂ©e sur nos serveurs VPN,
  • failles qui exposernt les donnĂ©es de nos clients Ă  des personnes non autorisĂ©es,
  • failles qui pourraient compromettre, briser, ou contourner nos communications VPN de maniĂšre Ă  exposer l'activitĂ© de quiconque utilisant nos produits VPN.

Additionnellement, tout hĂŽte accessible publiquement et appartenant Ă  ou gĂ©rĂ© par ExpressVPN qui ne se trouve pas dans la liste ci-dessus peut ĂȘtre considĂ©rĂ© dans le champ d'application au cas par cas.

Toutes les propriĂ©tĂ©s d'ExpressVPN peuvent ĂȘtre considĂ©rĂ©es comme Ă©tant incluses. Toutefois, certaines mĂ©thodologies de test sont exclues. Plus spĂ©cifiquement, les tests qui dĂ©graderaient la qualitĂ© de service, ex : DoS ou spam, ne sera pas considĂ©rĂ© comme inclus.

Des versions bĂȘta publiques de nos applis sont Ă©galement disponibles. Vous pouvez vous les procurer via notre page dĂ©diĂ©e aux bĂȘta-testeurs.

Hors du champ d'application

Tous les domaines ou sous-domaines qui ne figurent pas dans la liste des « champs d'application » ci-dessus.

SphÚre de sécurité

Nous fournissons une sphÚre de sécurité complÚte en concordance avec les termes-clés-GLOBAL de disclose.io.

La sécurité est au coeur de nos valeurs et nous donnons beaucoup d'importance aux contributions des hackers de bonne foi qui nous aident à maintenir la sécurité et la vie privée de nos utilisateurs à un standard élevé. Cela inclut l'encouragement à une recherche de faille et une divulgation éthiques. Cette politique met en exergue notre définition de « bonne foi » dans le contexte de recherche et de signalement de failles, ainsi que ce que vous pouvez attendre de nous en retour.

Attentes

Lorsque vous collaborez avec nous en accord avec cette politique, voici ce que vous pouvez attendre de nous :

  • extension de la sphĂšre de sĂ©curitĂ© pour votre recherche de failles qui est liĂ©e Ă  cette politique ;
  • collaboration avec vous pour comprendre et valider votre rapport, incluant une premiĂšre rĂ©ponse rapide Ă  la soumission de rapport ;
  • travail rapide pour remĂ©dier aux failles dĂ©couvertes ; et
  • reconnaissance de votre contribution Ă  l'amĂ©lioration de notre sĂ©curitĂ© si vous ĂȘtes le premier Ă  rapporter une faille unique, et que votre rapport implique un changement de code ou de configuration.

RĂšgles de base

Pour encourager la recherche de failles et éviter toute confusion entre le piratage de bonne foi et l'attaque malicieuse, voici ce que nous attendons de vous.

  • Respect des rĂšgles. Cela inclut le suivi de cette politique ainsi que d'autres accords correspondants. S'il y a des incohĂ©rences entre cette politique et d'autres termes correspondants, les termes de cette politique prĂ©vaudront.
  • Soumission rapide de toute faille que vous dĂ©couvrez.
  • Abstention de violer la vie privĂ©e des autres, perturber nos systĂšmes, dĂ©truire des donnĂ©es, et/ou menacer l'expĂ©rience utilisateur.
  • Recours uniquement aux chaĂźnes officielles pour discuter d'informations sensibles avec nous.
  • Maintien confidentiel des dĂ©tails de toutes failles dĂ©couvertes jusqu'Ă  ce que ces derniers soient rĂ©parĂ©es, en accord avec la politique de divulgation.
  • RĂ©alisation des tests uniquement sur des systĂšmes appartenant au champ d'application, et respect des systĂšmes et activitĂ©s qui ne font pas partie du champ d'application.
  • Si une faille fournit un accĂšs involontaire Ă  des donnĂ©es :
    • limitez au minimum requis le nombre de donnĂ©es auxquelles vous accĂ©dez pour dĂ©montrer efficacement une Preuve de Concept ; et
    • arrĂȘtez le test et soumettez un rapport immĂ©diatement si vous trouvez une donnĂ©e d'utilisateur durant le test, comme des donnĂ©es personnelles, des informations de santĂ© protĂ©gĂ©es, des donnĂ©es de carte de crĂ©dit, ou des informations de propriĂ©tĂ©s ;
  • Interaction uniquement avec des comptes test qui vous appartiennent ou avec une permission explicite du propriĂ©taire de compte.
  • Non pratique d'extorsion.

Accord de sphÚre de sécurité

Lors d'une recherche de faille en accord avec cette politique, nous considérons cette recherche conduite sous cette politique comme étant :

  • autorisĂ©e en vue de toutes lois anti-piratages applicables, et nous n'initierons ou n'appuyerons pas d'action lĂ©gale contre vous pour des violations accidentelles et de bonne foi de cette politique ;
  • autorisĂ©e en vue des lois anti-contournements applicables, et nous ne porterons pas plainte contre vous pour le contournement des contrĂŽles de technologie ;
  • exemptĂ© de restrictions dans notre Politique d'Utilisation Acceptable qui interfĂšrerait avec la conduite d'une recherche de sĂ©curitĂ©, et nous levons ces restrictions de maniĂšre limitĂ©e ; et
  • lĂ©gale, utile Ă  la sĂ©curitĂ© globale d'Internet, et menĂ© avec bonne foi.

Comme toujours, vous devez respectez toutes les lois applicables. Si une action légale est initiée contre vous par une partie tierce et que vous aviez respecté cette politique, nous ferons savoir que vos actions ont été menées en accord avec cette politique.

À tout moment, si vous faites face Ă  des prĂ©occupations ou n'ĂȘtes pas sĂ»r que votre recherche en sĂ©curitĂ© soit en accord avec cette politique, merci de soumettre un rapport via une de nos chaĂźnes officielles avant d'aller plus loin.

Prime unique de 100 000 $

Nous avons développé nos serveurs VPN pour garantir leur sécurité et leur fiabilité grùce à une technologie VPN appelée TrustedServer, qui améliore considérablement la sécurité de nos serveurs. Nous sommes trÚs confiants de la qualité de notre travail dans ce domaine et nous nous engageons à faire en sorte que nos serveurs VPN répondent aux attentes de nos utilisateurs en matiÚre de sécurité.

Ainsi, nous invitons nos experts en cybersécurité à orienter leurs tests sur les types de problÚmes de sécurité suivants dans nos serveurs VPN :

  • AccĂšs non autorisĂ© Ă  un serveur VPN ou exĂ©cution d'un code Ă  distance
  • Des vulnĂ©rabilitĂ©s dans notre serveur VPN qui entraĂźnent la fuite des adresses IP des clients ou la possibilitĂ© de surveiller le trafic internet des utilisateurs

Pour pouvoir prétendre à cette récompense, il faut rapporter la preuve d'une faille de sécurité affectant la vie privée de nos utilisateurs. Cela nécessitera la démonstration d'un accÚs non autorisé, d'une exécution de code à distance, d'une fuite d'adresses IP ou de la possibilité de surveiller le trafic internet chiffré de nos utilisateurs.

Pour rendre ce défi plus attrayant, la premiÚre personne qui rapportera une vulnérabilité effective recevra une prime de 100 000 $. Cette prime sera valable jusqu'à ce que le montant de la récompense soit réclamé.

L'objet de la récompense

Nous utilisons TrustedServer comme plateforme pour tous nos protocoles VPN. Tous nos serveurs VPN sont donc intégrés dans cette plateforme.

Assurez-vous de limiter vos activitĂ©s au programme dĂ©fini par ExpressVPN. Par exemple, les panneaux d'administration pour les services de centres de donnĂ©es que nous utilisons sont hors du champ d'application de ce programme, car ils ne sont pas dĂ©tenus, hĂ©bergĂ©s et exploitĂ©s par ExpressVPN. Si vous n'ĂȘtes pas sĂ»r que votre test soit considĂ©rĂ© comme faisant partie du champ d'application, veuillez contacter YesWeHack pour le confirmer. Un auditeur dont les tests sont hors du champ d'application de ce programme ne pourra pas prĂ©tendre Ă  une rĂ©compense. Nous nous rĂ©servons le droit de retirer immĂ©diatement l'auditeur indĂ©pendant du programme.

Les exclusions

Nous nous engageons à garantir des conditions de concurrence équitables pour nos candidats. Ainsi, les personnes suivantes ne peuvent pas prétendre à la prime pour la premiÚre découverte effective d'un bug :

  • Les employĂ©s Ă  temps plein ou Ă  temps partiel d'ExpressVPN ou de toute autre filiale de Kape Technologies, ainsi que leurs amis et leurs familles.
  • Les entrepreneurs, les consultants, les reprĂ©sentants, les fournisseurs, les vendeurs ou toute autre personne liĂ©e ou affiliĂ©e Ă  ExpressVPN.

Comment soumettre un rapport

Les chercheurs doivent soumettre leurs rapports via BugLes chercheurs doivent soumettre leurs observations par l'intermédiaire de YesWeHack. Nous acceptons également les envois par e-mail à security@expressvpn.com.

Veuillez noter qu'ExpressVPN utilise YesWeHack pour gĂ©rer tous les programmes de chasse aux bogues. Le fait de soumettre vos observations par e-mail signifie que nous partagerons celle-ci et son contenu avec YesWeHack Ă  des fins de contrĂŽle, mĂȘme si vous n'ĂȘtes pas membre de cette plateforme.

Découvrez qui a été récompensé par notre programme de chasse aux bugs.

Commencer