Programme de prime de sécurité

Aucune technologie n’est parfaite. Chez Cryptohopper, nous prenons très au sérieux la sécurité des fonds et des données de nos utilisateurs, et nous apprécions chaque chercheur qui partage cet engagement. Nous accueillons tous les rapports exploitables et ne versons des récompenses que pour les découvertes ayant un impact réel et démontrable.

Notre engagement envers les chercheurs

Nous voulons que la recherche en sécurité soit sûre et utile. Si vous respectez les règles de ce programme, nous nous engageons à :

• oAccuser réception de votre rapport dans un délai de 5 jours ouvrables
• oVous tenir informé pendant que nous évaluons la situation et travaillons sur un correctif
• oNe pas engager de poursuites civiles ou pénales à votre encontre pour des recherches en sécurité menées dans le cadre de ce programme
• oDemander un délai de 30 jours avant de divulguer publiquement une découverte, afin de nous laisser le temps de corriger le problème et de protéger nos utilisateurs

Nous vous demandons de nous laisser une chance équitable de répondre avant de rendre vos découvertes publiques. Si nous dépassons le délai de 30 jours sans raison valable, nous collaborerons avec vous pour définir un calendrier de divulgation coordonnée.

Ce dont nous souhaitons être informés

Pour être éligible à une récompense, une soumission doit inclure une preuve de concept fonctionnelle ainsi qu’une description claire de ce qu’un attaquant pourrait réellement faire. Nous donnons la priorité aux découvertes dans les domaines suivants :

Compromission du système

• oExécution de code à distance
• oInjection SQL
• oAutres types d’injection (NoSQL, commande, injection de template) avec un exploit fonctionnel
• oEntité externe XML (XXE)
• oServer-Side Request Forgery (SSRF)
• oAccès/téléversement au bucket S3

Sécurité du compte et des données

• oContournement de l’authentification ou accès non autorisé aux données
• oRéférences directes d’objets non sécurisées (IDOR) — accès aux données d’un autre utilisateur en manipulant des identifiants
• oVulnérabilités de session ou de jeton (fixation de session, jetons prévisibles, mauvaise utilisation de JWT) entraînant une prise de contrôle de compte
• oCross-Site Scripting (XSS) pouvant voler des sessions ou des identifiants
• oExposition de données sensibles — clés privées, secrets d’API ou données personnelles (PII) visibles dans les réponses, les bundles JS ou les journaux

Impact financier

Des failles de logique métier qui permettent un trading non autorisé, une manipulation des ordres ou un abus de solde

Cryptographie

Vulnérabilités de chiffrement

D’autres types de vulnérabilités peuvent être pris en compte si vous pouvez démontrer un impact clair et concret sur les données des utilisateurs, les fonds ou l’intégrité du système.

Actifs inclus dans le périmètre

• owww.cryptohopper.com
• oapi.cryptohopper.com
• oApplication iOS sur l’Apple Store : cryptohopper-crypto-trading/id1463052050
• oApplication Android sur Google Play Store : com.cryptohopper_mobile

Ce que nous ne récompensons pas

Les éléments suivants sont hors du périmètre. Les rapports dans ces catégories ne recevront pas de prime et peuvent ne pas faire l’objet d’une réponse détaillée.

Qualité du rapport

• oAucune preuve de concept fonctionnelle — nous devons être en mesure de reproduire le résultat
• oRésultats provenant uniquement d’outils d’analyse automatisés (Burp, Nessus, Nuclei, etc.) sans preuve de concept manuelle
• oRapports générés par IA ou basés sur des modèles qui ne reflètent pas des recherches originales et vérifiées
• oRapports en double — nous récompensons le premier rapport que nous recevons
• oSelf-XSS — n’affecte que le rapporteur, sans impact sur les autres utilisateurs
• oBibliothèques vulnérables déjà connues sans exploit fonctionnel

Portée et environnement

• oTests effectués sur des actifs qui ne sont pas listés dans le périmètre (environnements de staging, sites partenaires, intégrations tierces)
• oProblèmes nécessitant la compromission préalable de l’appareil ou du compte de l’utilisateur, sauf si notre système en est le facilitateur direct
• oProblèmes sur des appareils jailbreakés ou rootés, ou sur des configurations client non standard (proxies personnalisés, applications modifiées), sauf si l’impact est critique et réaliste
• oVulnérabilités dans des produits obsolètes ou en fin de vie que nous ne prenons plus en charge
• oVecteurs nécessitant des environnements non corrigés (par exemple des mises à jour du système d’exploitation manquantes) ou des versions de navigateur âgées de plus de 6 mois
• oAttaques nécessitant une attaque de type MiTM ou un accès physique à l’appareil

Impact faible et uniquement bonnes pratiques

• oClés publiques provenant d’intégrations tierces (par exemple, clés publiques d’API d’exchange) — celles-ci ne sont pas secrètes et ne constituent pas une vulnérabilité
• oRedirections ouvertes sans chaîne d’attaque réaliste (aucun vol de jeton, aucun scénario de phishing significatif)
• oClickjacking sans scénario d’attaque significatif
• oCSRF, y compris les CSRF non authentifiés/de connexion/de déconnexion
• oÉnumération des utilisateurs
• oDivulgation de bannière, de version ou de trace de pile sans attaque de suivi démontrée
• oDivulgation d’adresse IP ou d’origine
• oAbsence de limitation de débit sans scénario d’abus clairement identifié
• oAbsence de bonnes pratiques en matière de SSL/TLS, de DNS (DKIM/DMARC/SPF) ou d’en-têtes HTTP, sauf si vous pouvez démontrer un impact réel
• oAbsence de Subresource Integrity (SRI) sans preuve que le script peut réellement être altéré
• oUsurpation de contenu ou injection de texte
• oInjection CSV sans exploit fonctionnel
• oPossibilité de créer des comptes ou d’envoyer des e-mails sans limites (aucun abus démontré)
• oDivulgation d’informations non sensibles (versions de produit, chemins de fichiers)
• oFuite de jetons vers des tiers de confiance via HTTPS
• oNotifications manquantes pour les actions des utilisateurs
• oDoS/DDoS

Conduite

• oVeuillez ne pas lier votre rapport à des exigences de paiement ou à des menaces de divulgation. Nous traitons chaque rapport de manière équitable et basons les récompenses uniquement sur le mérite technique et l’impact. Les rapports accompagnés d’exigences ou de menaces ne seront pas éligibles à une récompense.
• oViolations des règles du programme (accès non autorisé aux données, divulgation publique avant la correction, etc.)

Comment soumettre

Envoyez un email à [email protected]. Nous accuserons réception de votre rapport dans un délai de 5 jours ouvrables.

Ce qui se passe ensuite

1. Accusé de réception — nous confirmons la réception sous 5 jours ouvrables
2. Triage — notre équipe de sécurité examine et reproduit la découverte
3. Correction — nous travaillons sur une résolution et vous tenons informé
4. Récompense — si vous êtes éligible, nous discutons et versons la prime
5. Divulgation — nous demandons un délai de 30 jours avant toute divulgation publique

Un bon rapport permet à nos ingénieurs de reproduire facilement le problème et d’en comprendre l’impact. Veuillez inclure :

1. Description de l’impact — que peut réellement faire un attaquant ? (par ex. « Un attaquant peut prendre le contrôle de n’importe quel compte en… »)
2. Reproduction étape par étape — étapes exactes, requêtes ou script minimal
3. Preuve de concept — un script fonctionnel ou une séquence de requêtes
4. URL affectée et paramètres — URL complète, filtres ou champs concernés
5. Captures d’écran ou vidéo (fortement appréciées)
6. Votre adresse IP — conservée de manière privée, utilisée pour faire le lien avec nos journaux

Les rapports vagues, sans impact clair ou impossibles à reproduire ne sont pas éligibles à une récompense et peuvent ne pas recevoir de réponse détaillée.

Règles

Testez de manière responsable. N’utilisez que les méthodes nécessaires pour trouver ou démontrer une vulnérabilité.

• oRespectez la vie privée des autres utilisateurs — n’accédez pas à des données au-delà de ce qui est strictement nécessaire pour démontrer le problème
• oN’exploitez pas les vulnérabilités à d’autres fins que votre propre enquête
• oNe divulguez pas les vulnérabilités publiquement ni à des tiers dans les 30 jours suivant votre rapport ; donnez-nous le temps de corriger le problème avant toute communication publique.
• oN’utilisez pas l’ingénierie sociale pour obtenir un accès
• oN’installez pas de portes dérobées, ne modifiez pas les données et ne modifiez en aucune façon le système.
• oN’utilisez pas de techniques de force brute
• oNe réalisez pas de tests de déni de service
• oGardez l’accès pour vous — ne partagez pas l’accès au système avec d’autres personnes

Récompenses

Nous apprécions tous les rapports exploitables — chaque signalement authentique nous aide à protéger nos utilisateurs. Les récompenses, cependant, sont réservées aux découvertes ayant un impact concret et démontrable dans le monde réel. Le montant versé dépend de la gravité, de l’impact et de la qualité du rapport ; il n’existe ni minimum ni maximum fixes.

Nous ne versons pas de récompenses pour les problèmes à faible impact, les découvertes théoriques sans exploit fonctionnel, ni pour les rapports automatisés ou générés par IA.

Pour être éligible, vous devez résider dans un pays qui n’est pas soumis aux sanctions applicables (par exemple Cuba, l’Iran, la Corée du Nord, le Soudan, la Syrie). Il s’agit d’un programme discrétionnaire — Cryptohopper se réserve le droit de l’annuler ou de refuser de verser une récompense à tout moment.

Quelques points à garder à l’esprit :

• oEn cas de doublons, seul le premier rapport reçu est récompensé
• oPlusieurs vulnérabilités issues d’une même cause racine sont traitées comme une seule découverte
• oLes récompenses peuvent être monétaires ou prendre la forme d’un abonnement Cryptohopper, à notre discrétion
• oLes récompenses monétaires sont versées via PayPal (dans le monde entier) ou par virement bancaire (UE uniquement)