Le programme de chasse aux bugs d'ExpressVPN
ExpressVPN exploite des milliers de serveurs VPN et propose des applications VPN multiplateformes pour tous les principaux systĂšmes d'exploitation de bureau et de smartphones, les extensions de navigateur, ainsi que pour les routeurs.
La sĂ©curitĂ© est au cĆur de nos prioritĂ©s et nous apprĂ©cions la contribution de hackers Ă©thiques afin de nous aider Ă maintenir un niveau Ă©levĂ© de sĂ©curitĂ© et de protection de la vie privĂ©e de nos utilisateurs. Nous encourageons notamment la recherche et la divulgation responsables de vulnĂ©rabilitĂ©s.
Nous proposons depuis des années un programme interne de primes à la détection de bogues et avons versé des milliers de dollars à des chercheurs en sécurité au cours de cette période. Nous accordons une grande importance à l'excellence de l'ingénierie et sommes toujours à la recherche de moyens d'améliorer la sécurité de nos produits et services.

Information sur les cibles
Champ d'application
Les produits et services suivants sont concernés :
- *.expressvpn.com
- API ExpressVPN
- Serveurs VPN
- Routeur ExpressVPN
- networkguard.com
- Toutes les applications ci-contre : https://www.buy-express-vpn.asia/latest
- https://github.com/expressvpn/lightway-core
- https://github.com/expressvpn/lightway
Focalisation
Nous nous intéressons particuliÚrement aux :
- failles dans nos applications client, plus particuliÚrement les failles qui conduiraient à une élévation des privilÚges utilisateur,
- tout sorte d'accÚs non autorisée sur nos serveurs VPN,
- failles qui exposernt les données de nos clients à des personnes non autorisées,
- failles qui pourraient compromettre, briser, ou contourner nos communications VPN de maniÚre à exposer l'activité de quiconque utilisant nos produits VPN.
Additionnellement, tout hĂŽte accessible publiquement et appartenant Ă ou gĂ©rĂ© par ExpressVPN qui ne se trouve pas dans la liste ci-dessus peut ĂȘtre considĂ©rĂ© dans le champ d'application au cas par cas.
Toutes les propriĂ©tĂ©s d'ExpressVPN peuvent ĂȘtre considĂ©rĂ©es comme Ă©tant incluses. Toutefois, certaines mĂ©thodologies de test sont exclues. Plus spĂ©cifiquement, les tests qui dĂ©graderaient la qualitĂ© de service, ex : DoS ou spam, ne sera pas considĂ©rĂ© comme inclus.
Des versions bĂȘta publiques de nos applis sont Ă©galement disponibles. Vous pouvez vous les procurer via notre page dĂ©diĂ©e aux bĂȘta-testeurs.
Hors du champ d'application
Tous les domaines ou sous-domaines qui ne figurent pas dans la liste des « champs d'application » ci-dessus.
SphÚre de sécurité
Nous fournissons une sphÚre de sécurité complÚte en concordance avec les termes-clés-GLOBAL de disclose.io.
La sécurité est au coeur de nos valeurs et nous donnons beaucoup d'importance aux contributions des hackers de bonne foi qui nous aident à maintenir la sécurité et la vie privée de nos utilisateurs à un standard élevé. Cela inclut l'encouragement à une recherche de faille et une divulgation éthiques. Cette politique met en exergue notre définition de « bonne foi » dans le contexte de recherche et de signalement de failles, ainsi que ce que vous pouvez attendre de nous en retour.
Attentes
Lorsque vous collaborez avec nous en accord avec cette politique, voici ce que vous pouvez attendre de nous :
- extension de la sphÚre de sécurité pour votre recherche de failles qui est liée à cette politique ;
- collaboration avec vous pour comprendre et valider votre rapport, incluant une premiÚre réponse rapide à la soumission de rapport ;
- travail rapide pour remédier aux failles découvertes ; et
- reconnaissance de votre contribution Ă l'amĂ©lioration de notre sĂ©curitĂ© si vous ĂȘtes le premier Ă rapporter une faille unique, et que votre rapport implique un changement de code ou de configuration.
RĂšgles de base
Pour encourager la recherche de failles et éviter toute confusion entre le piratage de bonne foi et l'attaque malicieuse, voici ce que nous attendons de vous.
- Respect des rÚgles. Cela inclut le suivi de cette politique ainsi que d'autres accords correspondants. S'il y a des incohérences entre cette politique et d'autres termes correspondants, les termes de cette politique prévaudront.
- Soumission rapide de toute faille que vous découvrez.
- Abstention de violer la vie privée des autres, perturber nos systÚmes, détruire des données, et/ou menacer l'expérience utilisateur.
- Recours uniquement aux chaĂźnes officielles pour discuter d'informations sensibles avec nous.
- Maintien confidentiel des détails de toutes failles découvertes jusqu'à ce que ces derniers soient réparées, en accord avec la politique de divulgation.
- Réalisation des tests uniquement sur des systÚmes appartenant au champ d'application, et respect des systÚmes et activités qui ne font pas partie du champ d'application.
- Si une faille fournit un accÚs involontaire à des données :
- limitez au minimum requis le nombre de données auxquelles vous accédez pour démontrer efficacement une Preuve de Concept ; et
- arrĂȘtez le test et soumettez un rapport immĂ©diatement si vous trouvez une donnĂ©e d'utilisateur durant le test, comme des donnĂ©es personnelles, des informations de santĂ© protĂ©gĂ©es, des donnĂ©es de carte de crĂ©dit, ou des informations de propriĂ©tĂ©s ;
- Interaction uniquement avec des comptes test qui vous appartiennent ou avec une permission explicite du propriétaire de compte.
- Non pratique d'extorsion.
Accord de sphÚre de sécurité
Lors d'une recherche de faille en accord avec cette politique, nous considérons cette recherche conduite sous cette politique comme étant :
- autorisée en vue de toutes lois anti-piratages applicables, et nous n'initierons ou n'appuyerons pas d'action légale contre vous pour des violations accidentelles et de bonne foi de cette politique ;
- autorisée en vue des lois anti-contournements applicables, et nous ne porterons pas plainte contre vous pour le contournement des contrÎles de technologie ;
- exempté de restrictions dans notre Politique d'Utilisation Acceptable qui interfÚrerait avec la conduite d'une recherche de sécurité, et nous levons ces restrictions de maniÚre limitée ; et
- légale, utile à la sécurité globale d'Internet, et mené avec bonne foi.
Comme toujours, vous devez respectez toutes les lois applicables. Si une action légale est initiée contre vous par une partie tierce et que vous aviez respecté cette politique, nous ferons savoir que vos actions ont été menées en accord avec cette politique.
Ă tout moment, si vous faites face Ă des prĂ©occupations ou n'ĂȘtes pas sĂ»r que votre recherche en sĂ©curitĂ© soit en accord avec cette politique, merci de soumettre un rapport via une de nos chaĂźnes officielles avant d'aller plus loin.
Prime unique de 100 000 $
Nous avons développé nos serveurs VPN pour garantir leur sécurité et leur fiabilité grùce à une technologie VPN appelée TrustedServer, qui améliore considérablement la sécurité de nos serveurs. Nous sommes trÚs confiants de la qualité de notre travail dans ce domaine et nous nous engageons à faire en sorte que nos serveurs VPN répondent aux attentes de nos utilisateurs en matiÚre de sécurité.
Ainsi, nous invitons nos experts en cybersécurité à orienter leurs tests sur les types de problÚmes de sécurité suivants dans nos serveurs VPN :
- AccÚs non autorisé à un serveur VPN ou exécution d'un code à distance
- Des vulnérabilités dans notre serveur VPN qui entraßnent la fuite des adresses IP des clients ou la possibilité de surveiller le trafic internet des utilisateurs
Pour pouvoir prétendre à cette récompense, il faut rapporter la preuve d'une faille de sécurité affectant la vie privée de nos utilisateurs. Cela nécessitera la démonstration d'un accÚs non autorisé, d'une exécution de code à distance, d'une fuite d'adresses IP ou de la possibilité de surveiller le trafic internet chiffré de nos utilisateurs.
Pour rendre ce défi plus attrayant, la premiÚre personne qui rapportera une vulnérabilité effective recevra une prime de 100 000 $. Cette prime sera valable jusqu'à ce que le montant de la récompense soit réclamé.
L'objet de la récompense
Nous utilisons TrustedServer comme plateforme pour tous nos protocoles VPN. Tous nos serveurs VPN sont donc intégrés dans cette plateforme.
Assurez-vous de limiter vos activitĂ©s au programme dĂ©fini par ExpressVPN. Par exemple, les panneaux d'administration pour les services de centres de donnĂ©es que nous utilisons sont hors du champ d'application de ce programme, car ils ne sont pas dĂ©tenus, hĂ©bergĂ©s et exploitĂ©s par ExpressVPN. Si vous n'ĂȘtes pas sĂ»r que votre test soit considĂ©rĂ© comme faisant partie du champ d'application, veuillez contacter YesWeHack pour le confirmer. Un auditeur dont les tests sont hors du champ d'application de ce programme ne pourra pas prĂ©tendre Ă une rĂ©compense. Nous nous rĂ©servons le droit de retirer immĂ©diatement l'auditeur indĂ©pendant du programme.
Les exclusions
Nous nous engageons à garantir des conditions de concurrence équitables pour nos candidats. Ainsi, les personnes suivantes ne peuvent pas prétendre à la prime pour la premiÚre découverte effective d'un bug :
- Les employés à temps plein ou à temps partiel d'ExpressVPN ou de toute autre filiale de Kape Technologies, ainsi que leurs amis et leurs familles.
- Les entrepreneurs, les consultants, les représentants, les fournisseurs, les vendeurs ou toute autre personne liée ou affiliée à ExpressVPN.
Comment soumettre un rapport
Les chercheurs doivent soumettre leurs rapports via BugLes chercheurs doivent soumettre leurs observations par l'intermédiaire de YesWeHack. Nous acceptons également les envois par e-mail à security@expressvpn.com.
Veuillez noter qu'ExpressVPN utilise YesWeHack pour gĂ©rer tous les programmes de chasse aux bogues. Le fait de soumettre vos observations par e-mail signifie que nous partagerons celle-ci et son contenu avec YesWeHack Ă des fins de contrĂŽle, mĂȘme si vous n'ĂȘtes pas membre de cette plateforme.
Découvrez qui a été récompensé par notre programme de chasse aux bugs.