Instruction sur la manière de signaler une vulnérabilité
Nous nous efforçons d’être un maillon robuste de votre chaîne de sécurité en maximisant les avantages du chiffrement à divulgation nulle de connaissance pour sécuriser vos données et vos communications. Cependant, personne n’est parfait et nous ne le sommes pas non plus. C’est pourquoi nous serions très heureux de vous lire si vous découvriez un défaut de sécurité admissible dans notre code ou notre infrastructure.
Avant de nous contacter, veuillez lire tous les renseignements qui se trouvent sur cette page et suivre les instructions.
Comment puis-je signaler des vulnérabilités ?
Nous valorisons les signalements bien structurés et qui expliquent clairement les problèmes. Cela nous permet de reproduire et de comprendre le problème et vous pouvez recevoir un paiement plus élevé et plus rapidement. Nous vous recommandons de lire cet article (en anglais) qui donne des conseils sur la manière de rédiger des signalements dans le cadre de programme de prime aux bogues.
Votre signalement prêt, veuillez l’envoyer par courriel à bug@mega.nz
Quelles sont les vulnérabilités admissibles ?
- Exécution de code à distance sur l’un de nos serveurs, dont des défauts d’injection SQL.
- Falsifications de requête intersites côté serveur.
- Exécution de code à distance dans un navigateur client ; par exemple avec un script intersites.
- Tout ce qui porte atteinte à notre modèle de sécurité cryptographique et qui permet un accès distant non autorisé à des clés ou données, qui permet de les manipuler.
- Contournement du contrôle d’accès et de l’authentification qui pourrait entraîner le remplacement ou la suppression non autorisée de clés ou de données d’utilisateur.
- Tout problème qui pose un risque aux données d’un compte utilisateur si l’adresse courriel associée est compromise.
Quelles vulnérabilités ne sont pas admises ?
- Tout ce qui demande une interaction active de l’utilisateur telle que l’hameçonnage ou les attaques par piratage psychologique.
- Les mots de passe faibles de comptes utilisateur.
- Les vulnérabilités qui nécessitent un grand nombre de demandes aux serveurs afin d’être exploitées.
- Les attaques qui nécessitent une machine cliente compromise.
- Les problèmes qui découlent de l’utilisation de navigateurs client non pris en charge ou périmés.
- Tout problème qui nécessite l’accès physique à un centre de données (voir ci-dessous les scénarios à portée limitée pour des serveurs compromis).
- Les vulnérabilités de services exploités par des tiers tels que les revendeurs.
- Toute attaque par surcharge, épuisement des ressources ou déni de service distribué.
- Tout scénario qui s’appuie sur des certificats SSL falsifiés.
- Tout ce qui nécessite une puissance de calcul exceptionnel (2^60 d’opérations cryptographiques ou davantage) ou un ordinateur quantique fonctionnel, dont des nombres aléatoires prévisibles (si vous êtes à même de démontrer une faiblesse réelle plutôt qu’une conjecture générale, nous pourrions considérer cela comme un signalement de bogue admissible).
- Tout bogue ou problème non relié à des défauts de sécurité.
Quel genre de scénarios spéciaux puis-je signaler ?
Noeud CDN statique compromis (*.static.mega.co.nz)
Supposons que vous avez compromis l’un de nos serveurs de contenu statique et que vous pouvez manipuler les fichiers (dont tout le code JavaScript) servis par ce serveur. Pouvez-vous tirer parti de cette réussite pour compromettre notre sécurité?
Avis : influencer les actions des utilisateurs à partir de fichiers images modifiés, bien que ce soit en effet une vulnérabilité potentielle dans ce contexte, est exclu.
Noeud de stockage client compromis (*.userstorage.mega.co.nz)
Supposons que vous avez obtenu l’accès à l’un de nos nœuds de stockage et que vous pouvez le manipuler à volonté. Vous savez que votre victime s’apprête à télécharger un fichier particulier qui se trouve sur ce nœud, mais vous n’avez pas sa clé. Pouvez-vous manipuler son contenu afin qu’il se télécharge quand même sans erreur ?
Infrastructure centrale compromise (*.api.mega.co.nz)
Ceci est le scénario extrême. Supposons que vous avez compromis notre cœur opérationnel, les serveurs de notre API. Pouvez-vous inciter par la ruse des clients de l’API à livrer les clés utilisables de fichiers dans des comptes qui n’ont aucun partage sortant avec eux ?
Comment les vulnérabilités sont-elles classées ?
MEGA classe les vulnérabilités d’après leur gravité, sur une échelle de 1 à 6.
- Niveau de gravité 6
Défauts de conception cryptographique fondamentaux qui sont généralement exploitables. - Niveau de gravité 5
Exécution à distance de code sur les serveurs centraux de MEGA, telles des brèches importantes d’interface de programmation d’applications, de base de données et des grappes racine ou de contrôle d’accès. - Niveau de gravité 4
Défauts de conception cryptographique qui ne peuvent être exploités qu’après avoir compromis l’infrastructure de serveurs soit en direct soit après les avoir déconnectés pour les examiner. - Niveau de gravité 3
Exécution à distance de code généralement exploitable sur des navigateurs client (script intersites). - Niveau de gravité 2
Script intersites qui ne peut être exploité qu’après avoir compromis la grappe des serveurs d’API ou avoir mené une attaque par interception, par exemple en délivrant un faux certificat TLS/SSL avec manipulation DNS/BGP. - Niveau de gravité 1
Tous les scénarios de vulnérabilité à impact moindre ou purement théoriques.
Quel sera le montant de ma récompense ?
Nous versons jusqu’à 10 000 € par vulnérabilité selon sa complexité et son impact potentiel.
Des signalements de bogue et de vulnérabilité de haute qualité bien structurés et documentés avec une démonstration de faisabilité seront récompensés au plus haut de chaque niveau de gravité.
Qui est admissible à une récompense ?
La première personne qui signale une vulnérabilité reproductible et que MEGA peut confirmer recevra une récompense.
Qui décide de la validité d’un signalement de vulnérabilité ?
La décision quant à la qualification de votre signalement et le montant que vous pourriez recevoir est à notre entière discrétion. Bien que nous soyons justes et généreux, en envoyant un signalement de bogues vous acceptez que notre verdict soit final.
Combien de temps avant d’avoir des nouvelles d’une vulnérabilité que j’ai signalée ?
Nous nous efforçons de répondre aux signalements dans les jours qui suivent leur réception. Si vous ne recevez pas de réponse dans ce délai, cela peut signifier que votre rapport est erroné ou qu’il n’est pas suffisamment détaillé pour être examiné correctement. Nous vous invitons à nous contacter par courrier électronique si vous êtes certain que votre rapport est complet et correct.
Politique de divulgation responsable de renseignements
Veuillez respecter la norme de l’industrie quant à la politique de divulgation responsable de renseignements, avec une période de 90 jours après réception et confirmation de la vulnérabilité signalée, pour nous donner le temps d’effectuer des essais et d’implémenter les correctifs qui s’imposent.