Le programme de chasse aux bugs d'ExpressVPN

ExpressVPN exploite des milliers de serveurs VPN et conçoit des applications VPN multi-plateformes pour les plus grands systèmes d'exploitation ainsi que les routeurs et les extensions de navigateurs.

ExpressVPN prend très au sérieux la sécurité de ses applications et de ses services. Depuis des années, nous avons gérons un programme interne de chasse aux bugs et avons déjà récompensé les experts en cybersécurité en dizaines de milliers de dollars. Nous valorisons l'excellence de l'ingénierie et sommes en constante recherche de moyens pour améliorer la sécurité de nos produits et services.

Obtenez des récompenses grâce à notre programme de primes aux bugs.

Informations cibles

Champ d'application

Les produits et services suivants sont concernés :

  • Serveurs VPN

  • Application ExpressVPN pour iOS

  • Application ExpressVPN pour Android

  • Application ExpressVPN pour Linux

  • Application ExpressVPN pour macOS

  • Application ExpressVPN pour Windows

  • Application ExpressVPN pour routeur

  • Extension Firefox d'ExpressVPN

  • Extension Chrome d'ExpressVPN

  • Serveurs DNS MediaStreamer

  • Les API d'ExpressVPN

  • expressvpn.com

  • *.expressvpn.com

  • *.xvservice.net

  • expressobutiolem.onion

  • App Store d'Apple (886492891)

  • Google Play (com.expressvpn.vpn)

Outre les éléments listés plus haut, sont également concernés :

  • systèmes internes, ex : email employé, messages de discussion internes, hébergement de code source

  • tout faille compromettant la vie privée de nos employés

Focalisation

Nous nous intéressons particulièrement aux :

  • failles dans nos applications client, plus particulièrement les failles qui conduiraient à une élévation des privilèges utilisateur,

  • tout sorte d'accès non autorisée sur nos serveurs VPN,

  • failles qui exposernt les données de nos clients à des personnes non autorisées,

  • failles qui pourraient compromettre, briser, ou contourner nos communications VPN de manière à exposer l'activité de quiconque utilisant nos produits VPN.

Additionnellement, tout hôte accessible publiquement et appartenant à ou géré par ExpressVPN qui ne se trouve pas dans la liste ci-dessus peut être considéré dans le champ d'application au cas par cas.

Toutes les propriétés d'ExpressVPN peuvent être considérées comme étant incluses. Toutefois, certaines méthodologies de test sont exclues. Plus spécifiquement, les tests qui dégraderaient la qualité de service, ex : DoS ou spam, ne sera pas considéré comme inclus.

Des versions bêta publiques de nos applis sont également disponibles. Vous pouvez vous les procurer via notre page dédiée aux bêta-testeurs.

Hors du champ d'application

  • Versions alpha de nos applications,

  • Ingénierie sociale (ex : phishing ou hameçonnage)

  • Sécurité matérielle de nos locaux, serveurs, ou employés

  • Logiciel tiers (sauf dans les cas où il existerait une faille exploitable dûe à une mauvaise configuration ou un niveau de correction)

Sphère de sécurité

Nous fournissons une sphère de sécurité complète en concordance avec les termes-clés-GLOBAL de disclose.io.

La sécurité est au coeur de nos valeurs et nous donnons beaucoup d'importance aux contributions des hackers de bonne foi qui nous aident à maintenir la sécurité et la vie privée de nos utilisateurs à un standard élevé. Cela inclut l'encouragement à une recherche de faille et une divulgation éthiques. Cette politique met en exergue notre définition de « bonne foi » dans le contexte de recherche et de signalement de failles, ainsi que ce que vous pouvez attendre de nous en retour.

Attentes

Lorsque vous collaborez avec nous en accord avec cette politique, voici ce que vous pouvez attendre de nous :

  • extension de la sphère de sécurité pour votre recherche de failles qui est liée à cette politique ;

  • collaboration avec vous pour comprendre et valider votre rapport, incluant une première réponse rapide à la soumission de rapport ;

  • travail rapide pour remédier aux failles découvertes ; et

  • reconnaissance de votre contribution à l'amélioration de notre sécurité si vous êtes le premier à rapporter une faille unique, et que votre rapport implique un changement de code ou de configuration.

Règles de base

Pour encourager la recherche de failles et éviter toute confusion entre le piratage de bonne foi et l'attaque malicieuse, voici ce que nous attendons de vous.

  • Respect des règles. Cela inclut le suivi de cette politique ainsi que d'autres accords correspondants. S'il y a des incohérences entre cette politique et d'autres termes correspondants, les termes de cette politique prévaudront.

  • Soumission rapide de toute faille que vous découvrez.

  • Abstention de violer la vie privée des autres, perturber nos systèmes, détruire des données, et/ou menacer l'expérience utilisateur.

  • Recours uniquement aux chaînes officielles pour discuter d'informations sensibles avec nous.

  • Maintien confidentiel des détails de toutes failles découvertes jusqu'à ce que ces derniers soient réparées, en accord avec la politique de divulgation.

  • Réalisation des tests uniquement sur des systèmes appartenant au champ d'application, et respect des systèmes et activités qui ne font pas partie du champ d'application.

  • Si une faille fournit un accès involontaire à des données :

    • limitez au minimum requis le nombre de données auxquelles vous accédez pour démontrer efficacement une Preuve de Concept ; et

    • arrêtez le test et soumettez un rapport immédiatement si vous trouvez une donnée d'utilisateur durant le test, comme des données personnelles, des informations de santé protégées, des données de carte de crédit, ou des informations de propriétés ;

  • Interaction uniquement avec des comptes test qui vous appartiennent ou avec une permission explicite du propriétaire de compte.

  • Non pratique d'extorsion.

Accord de sphère de sécurité

Lors d'une recherche de faille en accord avec cette politique, nous considérons cette recherche conduite sous cette politique comme étant :

  • autorisée en vue de toutes lois anti-piratages applicables, et nous n'initierons ou n'appuyerons pas d'action légale contre vous pour des violations accidentelles et de bonne foi de cette politique ;

  • autorisée en vue des lois anti-contournements applicables, et nous ne porterons pas plainte contre vous pour le contournement des contrôles de technologie ;

  • exempté de restrictions dans notre
    Politique d'Utilisation Acceptable qui interfèrerait avec la conduite d'une recherche de sécurité, et nous levons ces restrictions de manière limitée ; et

  • légale, utile à la sécurité globale d'Internet, et mené avec bonne foi.

Comme toujours, vous devez respectez toutes les lois applicables. Si une action légale est initiée contre vous par une partie tierce et que vous aviez respecté cette politique, nous ferons savoir que vos actions ont été menées en accord avec cette politique.

À tout moment, si vous faites face à des préoccupations ou n'êtes pas sûr que votre recherche en sécurité soit en accord avec cette politique, merci de soumettre un rapport via une de nos chaînes officielles avant d'aller plus loin.

Prime unique de 100 000 $

Nous avons développé nos serveurs VPN pour garantir leur sécurité et leur fiabilité grâce à une technologie VPN appelée TrustedServer, qui améliore considérablement la sécurité de nos serveurs. Nous sommes très confiants de la qualité de notre travail dans ce domaine et nous nous engageons à faire en sorte que nos serveurs VPN répondent aux attentes de nos utilisateurs en matière de sécurité.

Ainsi, nous invitons nos experts en cybersécurité à orienter leurs tests sur les types de problèmes de sécurité suivants dans nos serveurs VPN :

  • Accès non autorisé à un serveur VPN ou exécution d'un code à distance

  • Des vulnérabilités dans notre serveur VPN qui entraînent la fuite des adresses IP des clients ou la possibilité de surveiller le trafic internet des utilisateurs

Pour pouvoir prétendre à cette récompense, il faut rapporter la preuve d'une faille de sécurité affectant la vie privée de nos utilisateurs. Cela nécessitera la démonstration d'un accès non autorisé, d'une exécution de code à distance, d'une fuite d'adresses IP ou de la possibilité de surveiller le trafic internet chiffré de nos utilisateurs.

Pour rendre ce défi plus attrayant, la première personne qui rapportera une vulnérabilité effective recevra une prime de 100 000 $. Cette prime sera valable jusqu'à ce que le montant de la récompense soit réclamé.

L'objet de la récompense

Nous utilisons TrustedServer comme plateforme pour tous nos protocoles VPN. Tous nos serveurs VPN sont donc intégrés dans cette plateforme.

Assurez-vous de limiter vos activités au programme défini par ExpressVPN. Par exemple, les panneaux d'administration pour les services de centres de données que nous utilisons sont hors du champ d'application de ce programme, car ils ne sont pas détenus, hébergés et exploités par ExpressVPN. Si vous n'êtes pas sûr du cadre définissant votre activité lors du test, veuillez d'abord contacter support@bugcrowd.com pour confirmer votre choix. Un auditeur dont les tests sont hors du champ d'application de ce programme ne pourra pas prétendre à une récompense. Nous nous réservons le droit de retirer immédiatement l'auditeur indépendant du programme.

Les exclusions

Nous nous engageons à garantir des conditions de concurrence équitables pour nos candidats. Ainsi, les personnes suivantes ne peuvent pas prétendre à la prime pour la première découverte effective d'un bug :

  • Les employés à temps plein ou à temps partiel d'ExpressVPN ou de toute autre filiale de Kape Technologies, ainsi que leurs amis et leurs familles.

  • Les entrepreneurs, les consultants, les représentants, les fournisseurs, les vendeurs ou toute autre personne liée ou affiliée à ExpressVPN.

Comment soumettre un rapport

Les chercheurs doivent soumettre leurs rapports via Bugcrowd. Nous acceptons également les envois par e-mail à security@expressvpn.com.

À noter : ExpressVPN utilise Bugcrowd pour gérer tous les programmes de chasse aux bugs. L'envoi de votre rapport par e-mail signifie que nous partagerons votre adresse e-mail et votre contenu avec Bugcrowd dans un objectif de triage, même si vous n'êtes pas membre de la plateforme.

Découvrez qui a été récompensé par notre programme de chasse aux bugs.