Le programme de prime aux bugs d'ExpressVPN

ExpressVPN exploite des milliers de serveurs VPN et conçoit des applications VPN multi-plateformes pour les plus grands systèmes d'exploitation ainsi que les routeurs et les extensions de navigateurs.

ExpressVPN prend très au sérieux la sécurité de ses applications et de ses services. Depuis des années, nous avons offert un programme interne de prime aux bugs et avons déjà récompensé les chercheurs en sécurité en dizaines de milliers de dollars. Nous valorisons l'excellence de l'ingénierie et sommes en constante recheche de moyens pour améliorer la sécurité de nos produits et services.

Get rewards with our bug bounty program.

Informations cibles

Champ d'application

Les produits et services suivants sont concernés :

  • Serveurs VPN

  • Application ExpressVPN pour iOS

  • Application ExpressVPN pour Android

  • Application ExpressVPN pour Linux

  • Application ExpressVPN pour macOS

  • Application ExpressVPN pour Windows

  • Application ExpressVPN pour routeur

  • Extension Firefox d'ExpressVPN

  • Extension Chrome d'ExpressVPN

  • Serveurs DNS MediaStreamer

  • Les API d'ExpressVPN

  • expressvpn.com

  • *.expressvpn.com

  • *.xvservice.net

  • expressobutiolem.onion

  • App Store d'Apple (886492891)

  • Google Play (com.expressvpn.vpn)

En plus des éléments listés plus haut, sont également concernés :

  • systèmes internes, ex : email employé, messages de discussion internes, hébérgement de code source

  • tout faille compromettant la vie privée de nos employés

Focalisation

Nous nous intéressons particulièrement aux :

  • failles dans nos applications client, plus particulièrement les failles qui amènent à une élévation des privilèges,

  • tout sorte d'accès non autorisée sur nos serveurs VPN,

  • failles qui exposent les données de nos clients à des personnes non autorisées,

  • failles qui affaiblissent, brisent, ou contournent nos communications VPN de manière à mettre à découvert le trafic de quiconque utilisant nos produits VPN.

Additionnellement, tout hôte accessible publiquement et appartenant à ou géré par ExpressVPN qui ne se trouve pas dans la liste ci-dessus peut être considéré dans le champ d'application au cas par cas.

Toutes les propriétés d'ExpressVPN peuvent être considérées comme étant incluses. Toutefois, certaines méthodologies de test sont exclues. Plus spécifiquement, il s'agira des tests qui dégradent la qualité de service, ex : DoS ou spam, ne sera pas considéré comme inclus.

Hors du champ d'application

  • Versions alpha et beta de nos applications,

  • Ingénierie sociale (ex : phishing ou hameçonnage)

  • Sécurité physique de nos bureaux, serveurs, ou employés

  • Logiciel tiers (sauf dans les cas où il y a une faille exploitable dûe à une mauvaise configuration ou un niveau de correction)

Sphère de sécurité

Nous fournissons une sphère de sécurité complète en concordance avec les termes-clés-GLOBAL de disclose.io.

La sécurité est au coeur de nos valeurs et nous donnons beaucoup d'importance aux contributions des hackers de bonne foi qui nous aident à maintenir la sécurité et la vie privée de nos utilisateurs à un standard élevé. Cela inclut l'encouragement à une recherche de faille et une divulgation éthiques. Cette politique met en exergue notre définition de « bonne foi » dans le contexte de recherche et de signalement de failles, ainsi que ce que vous pouvez attendre de nous en retour.

Attentes

Lorsque vous collaborez avec nous en accord avec cette politique, voici ce que vous pouvez attendre de nous :

  • extension de la sphère de sécurité pour votre recherche de failles qui est liée à cette politique ;

  • collaboration avec vous pour comprendre et valider votre rapport, incluant une première réponse rapide à la soumission de rapport ;

  • travail rapide pour remédier aux failles découvertes ; et

  • reconnaissance de votre contribution à l'amélioration de notre sécurité si vous êtes le premier à rapporter une faille unique, et que votre rapport implique un changement de code ou de configuration.

Règles de base

Pour encourager la recherche de failles et éviter toute confusion entre le piratage de bonne foi et l'attaque malicieuse, voici ce que nous attendons de vous.

  • Respect des règles. Cela inclut le suivi de cette politique ainsi que d'autres accords correspondants. S'il y a des incohérences entre cette politique et d'autres termes correspondants, les termes de cette politique prévaudront.

  • Soumission rapide de toute faille que vous découvrez.

  • Abstention de violer la vie privée des autres, perturber nos systèmes, détruire des données, et/ou menacer l'expérience utilisateur.

  • Recours uniquement aux chaînes officielles pour discuter d'informations sensibles avec nous.

  • Maintien confidentiel des détails de toutes failles découvertes jusqu'à ce que ces derniers soient réparées, en accord avec la politique de divulgation.

  • Réalisation des tests uniquement sur des systèmes appartenant au champ d'application, et respect des systèmes et activités qui ne font pas partie du champ d'application.

  • Si une faille fournit un accès involontaire à des données :

    • limitez au minimum requis le nombre de données auxquelles vous accédez pour démontrer efficacement une Preuve de Concept ; et

    • arrêtez le test et soumettez un rapport immédiatement si vous trouvez une donnée d'utilisateur durant le test, comme des données personnelles, des informations de santé protégées, des données de carte de crédit, ou des informations de propriétés ;

  • Interaction uniquement avec des comptes test qui vous appartiennent ou avec une permission explicite du propriétaire de compte.

  • Non pratique d'extorsion.

Accord de sphère de sécurité

Lors d'une recherche de faille en accord avec cette politique, nous considérons cette recherche conduite sous cette politique comme étant :

  • autorisée en vue de toutes lois anti-piratages applicables, et nous n'initierons ou n'appuyerons pas d'action légale contre vous pour des violations accidentelles et de bonne foi de cette politique ;

  • autorisée en vue des lois anti-contournements applicables, et nous ne porterons pas plainte contre vous pour le contournement des contrôles de technologie ;

  • exempté de restrictions dans notre Politique d'Utilisation Acceptable qui interfèrerait avec la conduite d'une recherche de sécurité, et nous levons ces restrictions de manière limitée ; et

  • légale, utile à la sécurité globale d'Internet, et mené avec bonne foi.

Comme toujours, vous devez respectez toutes les lois applicables. Si une action légale est initiée contre vous par une partie tierce et que vous aviez respecté cette politique, nous ferons savoir que vos actions ont été menées en accord avec cette politique.

À tout moment, si vous faites face à des préoccupations ou n'êtes pas sûr que votre recherche en sécurité soit en accord avec cette politique, merci de soumettre un rapport via une de nos chaînes officielles avant d'aller plus loin.

Comment soumettre un rapport

Les chercheurs doivent soumettre leurs rapports via Bugcrowd. Nous acceptons également les soumissions par email à security@expressvpn.com.

Merci de noter : ExpressVPN utilise Bugcrowd pour gérer tous les programmes de primes aux bugs. Faire votre soumission par email signifie que nous partagerons votre adresse email et votre contenu avec Bugcrowd dans un objectif de triage, même si vous n'êtes pas membre de la plateforme.

Découvrez qui a été récompensé par notre programme de primes aux bugs.