Comment signaler une vulnérabilité de sécurité à Binance

Comprendre les rapports sur les vulnérabilités de sécurité

1. Binance maintient un cadre de sécurité dédié pour permettre aux pirates informatiques, aux chercheurs et aux utilisateurs éthiques de signaler les vulnérabilités potentielles au sein de sa plateforme. Ce processus est essentiel pour maintenir l’intégrité de la protection des actifs numériques et garantir la confiance des utilisateurs. L'échange fonctionne selon des protocoles stricts pour évaluer et résoudre efficacement les problèmes signalés.

2. Une vulnérabilité de sécurité fait référence à toute faille ou faiblesse dans les systèmes, contrats intelligents, API ou applications de Binance qui pourrait être exploitée pour compromettre les données, les fonds ou la stabilité opérationnelle. Ceux-ci peuvent inclure des failles logiques, des contournements d’authentification, des vecteurs d’accès non autorisés ou des faiblesses cryptographiques.

3. La divulgation responsable est fortement encouragée. Les personnes qui découvrent des vulnérabilités doivent s'abstenir d'exploiter ou de divulguer publiquement le problème avant que Binance n'ait eu suffisamment de temps pour enquêter et mettre en œuvre un correctif. Une exposition prématurée peut mettre en danger les actifs des utilisateurs et déclencher l’instabilité du marché.

4. Binance a établi des canaux formels par lesquels les rapports peuvent être soumis en toute sécurité. Ceux-ci incluent des adresses e-mail cryptées, des formulaires Web sécurisés et une intégration avec des plateformes mondiales de bug bounty telles que HackerOne. Les soumissions doivent contenir des informations techniques détaillées, y compris les étapes de reproduction, les composants concernés et l'impact potentiel.

5. Toutes les soumissions sont triées par l'équipe de sécurité interne de Binance. Les rapports qui démontrent des risques réels et sont accompagnés de preuves claires sont prioritaires pour l'analyse. L'évaluation comprend la validation, l'évaluation des risques et la coordination avec les équipes d'ingénierie concernées pour déployer des correctifs ou des mesures d'atténuation.

Éligibilité et portée du rapport

1. Le programme de signalement des vulnérabilités est ouvert aux particuliers du monde entier, à condition qu'ils se conforment à la politique de divulgation responsable de Binance. Les outils d'analyse automatisés, les tests de déni de service, l'ingénierie sociale et les attaques physiques sont explicitement exclus des méthodes acceptables.

2. Les cibles éligibles incluent Binance.com, Binance Smart Chain (BSC), Trust Wallet, les points de terminaison d'API, les applications mobiles et les sous-domaines officiellement hébergés. Les intégrations ou services tiers non directement gérés par Binance n'entrent pas dans le champ d'application à moins qu'ils n'affectent directement l'infrastructure de base.

3. Les types de vulnérabilités communément acceptés incluent l'exécution de code à distance, l'élévation de privilèges, les scripts intersites (XSS), la falsification de requête côté serveur (SSRF), les références d'objet directes non sécurisées (IDOR) et les exploits liés au portefeuille impliquant une perte de fonds ou des transactions non autorisées.

4. Les rapports en double sont examinés mais ne sont généralement pas récompensés si un autre chercheur a déjà divulgué le même problème. La priorité est donnée à la première soumission valide reçue. Binance se réserve le droit de déterminer l'éligibilité en fonction de l'impact, de l'originalité et de la clarté du rapport.

5. Les chercheurs doivent fournir des coordonnées exactes et rester disponibles pour toute communication de suivi. Les soumissions anonymes sont acceptées mais peuvent retarder la résolution en raison des capacités d'interaction limitées.

Récompenses et reconnaissance

1. Binance gère un programme de bug bounty qui offre des récompenses monétaires en fonction de la gravité de la vulnérabilité signalée. Des découvertes critiques telles que l’exécution de code à distance ou l’exposition d’une clé privée peuvent entraîner des paiements dépassant 100 000 $ en cryptomonnaie.

2. Les récompenses sont distribuées en crypto-monnaie, généralement en BUSD ou BNB, après vérification et résolution réussies du problème signalé. Le montant est déterminé par des facteurs tels que la complexité de l'exploitation, l'impact financier potentiel et la facilité d'atténuation.

3. En plus de la compensation financière, Binance reconnaît les contributeurs dans son Temple de la renommée public, répertoriant les noms des chercheurs qui ont soumis des rapports à fort impact. Cette reconnaissance soutient la crédibilité professionnelle au sein des communautés de cybersécurité et de blockchain.

4. Le traitement des paiements n'a lieu qu'une fois que la vulnérabilité a été entièrement corrigée et confirmée résolue. Les litiges concernant le montant des récompenses peuvent faire l'objet d'un appel via les voies officielles, où les hauts responsables de la sécurité procèdent à des examens.

5. Une utilisation abusive du système de signalement, comme la soumission de fausses déclarations ou la tentative d'exploitation au cours de l'enquête, entraîne une disqualification permanente du programme et d'éventuelles poursuites judiciaires.

Foire aux questions

Comment chiffrer mon rapport de vulnérabilité avant de l'envoyer à Binance ? Binance fournit une clé publique PGP pour chiffrer les rapports sensibles. Vous pouvez télécharger la clé depuis leur page de sécurité officielle et utiliser des outils comme GPG pour crypter votre message. Cela garantit la confidentialité lors de la transmission.

Puis-je signaler une vulnérabilité trouvée sur une dApp tierce exécutée sur Binance Smart Chain ? En général, non. À moins que la vulnérabilité ne provienne du protocole principal de BSC ou n'affecte les services exploités par Binance, ces rapports doivent être adressés aux développeurs de dApp respectifs. Binance peut transmettre des menaces critiques pour l'écosystème, le cas échéant.

Que se passe-t-il si je déclenche accidentellement une alerte pendant un test ? Si vos actions n'étaient pas malveillantes et faisaient partie d'une recherche légitime, Binance évalue le contexte et l'intention. Contactez-les de manière proactive avec des détails pour éviter d'être signalé par des systèmes de surveillance automatisés.

Existe-t-il un délai pour recevoir une réponse ? L’accusé de réception initial intervient généralement dans les cinq jours ouvrables. Les cas complexes peuvent nécessiter plus de temps pour une analyse approfondie. Les chercheurs sont informés périodiquement tout au long du processus de résolution.