Fondé en 2011, la plateforme d’échange d’actifs numériques Kraken est l’une des plus grandes et plus anciennes plateformes d’échange de bitcoins au monde, avec la plus grande sélection d’actifs numériques et de devises nationales. Basée à San Francisco et dotée de bureaux dans le monde entier, la plateforme de trading de Kraken est systématiquement classée comme la meilleure et la plus sûre des plateformes d’échange d’actifs numériques par les médias indépendants. Plébiscité par des centaines de milliers de traders, d’institutions et d’autorités, y compris la banque Fidor réglementée par BaFin en Allemagne, Kraken est la première plateforme d’échange à afficher ses données de marché sur le terminal Bloomberg, à avoir fait l’objet d’un audit de preuve de réserves de fonds vérifiable sur le plan cryptographique et à permettre le trading spot avec marge. Les investisseurs dans Kraken comprennent Blockchain Capital, Digital Currency Group, Hummingbird Ventures et Money Partners Group.

• Kraken encourage la divulgation responsable des failles de sécurité par le biais de son programme Bug Bounty.
• Les chercheurs doivent suivre la politique écrite. Cette politique est non négociable.
• Règles importantes :
  • Agissez de bonne foi et évitez les violations de la politique.
  • Ne faites pas plus que ce qui est nécessaire pour prouver une vulnérabilité. 
  • Ne proférez pas de menaces ou de demandes de rançon.
  • Signalez les vulnérabilités, y compris les instructions et la preuve de l’exploitation du concept, dès qu’elles sont découvertes et validées.
• Les chercheurs sont tenus de respecter toutes les lois applicables.
• Toute tentative de subversion ou de violation de notre politique entraînera l’inéligibilité immédiate à ce programme. Les menaces ou les tentatives d’extorsion peuvent être transmises aux autorités chargées de l’application de la loi.
• En cas de doute, veuillez contacter [email protected] pour obtenir des éclaircissements.

Kraken attache beaucoup d’importance aux professionnels de la sécurité et aux développeurs qui aident à assurer la sécurité de nos produits et nos utilisateurs. Kraken a mis en place et encourage la divulgation coordonnée des vulnérabilités (CVD) via notre programme Bug Bounty. Le programme Bug Bounty sert la mission de Kraken en aidant à protéger les clients sur le marché des devises numériques.

En recherchant des bugs dans les systèmes de Kraken, vous acceptez de ne divulguer aucune information concernant les vulnérabilités, vos recherches et vos communications avec Kraken jusqu’à ce que Kraken ait réglé le problème et autorisé leur divulgation. 

Si les obligations prévues dans la présente Politique sont respectées, Kraken accepte de ne pas engager de poursuites judiciaires en relation avec les recherches de sécurité effectuées en vertu de toutes les politiques Bug Bounty de Kraken, y compris les violations accidentelles et de bonne foi. 

Veuillez éviter les violations délibérées de la confidentialité en créant des comptes test chaque fois que cela est possible. Si vous rencontrez des informations personnelles identifiables ("PII") ou d’autres données sensibles pour des comptes que leurs titulaires ne vous autorisent pas expressément, par écrit, à utiliser pour valider vos conclusions, veuillez cesser immédiatement d’accéder à ces données et signaler le problème à Kraken avec une description des PII ou des autres données sensibles, et non les données elles-mêmes.

Conformément à la réglementation sur la protection des données et à nos politiques de confidentialité, vous êtes tenu :

• De ne stocker ou de communiquer les PII d’aucun autre client. Si vous deviez entrer en possession de PII d’un client, quel qu’il soit, signalez-le sans délai à Kraken, puis détruisez toutes les copies de ces PII qui ne vous appartiennent pas. 
• Faites en sorte de limiter au maximum la récupération et la consultation de données au cours de votre recherche. Ne collectez et ne conservez que les informations absolument nécessaires à la démonstration et au signalement de la vulnérabilité. 
• Supprimez sans délai et définitivement les données collectées après avoir envoyé votre rapport et reçu confirmation de sa réception de Kraken.
• Ne divulguez aucune information sur une quelconque vulnérabilité à des tiers sans l’autorisation écrite expresse de Kraken. Cette interdiction s’applique, sans s’y limiter, aux réseaux sociaux, d’autres entreprises ou la presse.
• Si vous signalez une violation de données ou l’emplacement d’un référentiel de données au lieu d’une vulnérabilité liée à la sécurité, veuillez indiquer l’emplacement des données et ne plus y accéder, ni partager leur emplacement avec d’autres personnes.

Une demande de bug bounty ne doit à aucun moment contenir de menaces ou de tentatives d’extorsion. Nous sommes disposés à payer des bug bounties pour les découvertes légitimes, mais les demandes de rançon ne feront l’objet d’aucun versement. À titre d’exemple, conditionner la divulgation d’informations concernant une vulnérabilité ou le moyen de la régler sera considéré comme une demande de rançon. Nous pouvons être tenus par la loi ou décider volontairement de signaler aux autorités compétentes toute demande de bug bounty qui contient des demandes de rançon. 

Nous estimons que les activités menées conformément à cette politique constituent un comportement "autorisé" en vertu de la Computer Fraud and Abuse Act (CFAA), de la Digital Millennium Copyright Act (DMCA) et des lois anti-piratage en vigueur, telles que l’article 503(c) du Code pénal californien. Nous ne poursuivrons pas en justice les chercheurs qui auront contourné les mesures technologiques que nous avons utilisées pour protéger les applications incluses dans le programme Bug Bounty. Cependant, le respect de cette politique ne signifie pas que Kraken, ni aucune autre organisation ou tout autre gouvernement individuel, peut accorder l’immunité face aux lois internationales. Il relève de la responsabilité des chercheurs en sécurité individuels de comprendre et de respecter toutes les lois locales et internationales applicables en matière de lutte contre le piratage, de protection des données et de la vie privée et de contrôle des exportations. Si un tiers intente une action en justice contre vous et que vous avez respecté les conditions de la présente politique, Kraken informera les autorités compétentes ou les plaignants civils que vos activités de recherche étaient, à notre connaissance, menées conformément aux, et selon les Conditions d’utilisation de ce programme.

Chaque chercheur est tenu de nous faire parvenir une notification avant de s’engager dans une conduite qui pourrait être incompatible avec ou non traitée par la présente politique. Nous apprécions les suggestions de clarification des politiques qui aident les chercheurs à mener leurs recherches et à établir leurs rapports en toute confiance.

Toutes les soumissions de primes sont notées par Kraken et payées en fonction de la note de vulnérabilité. Tous les paiements seront effectués en BTC sur votre compte Kraken et sont définis en tant que directive et peuvent faire l’objet de modifications.

• Tous les signalements de bug devront être transmis à l’adresse [email protected]. Il s’agit du seul contact officiel de ce programme. Merci de ne pas envoyer d’informations sur les vulnérabilités sur des sites externes. Les sites et portails externes ne sont ni officiels ni approuvés par Kraken.
• Pour recevoir des paiements bug bounty, vous devez :
  • Vous inscrire au niveau Intermédiaire. Voir : Créer un compte sur https://www.kraken.com/sign-up
  • Posséder un compte ACTIF
  • Soumettre des documents pour vérification. Consultez également cette page : https://support.kraken.com/hc/en-us/articles/360000672203-Document-requirements-for-verification
• La demande de paiement ou d’autres signes de reconnaissance en échange de détails sur la vulnérabilité entraînera l’inéligibilité immédiate des paiements de primes. Toute rétention de détails sur la vulnérabilité entraînera elle aussi l’inéligibilité immédiate des paiements de primes.
• Vous devez expliquer en détail comment la vulnérabilité peut être constatée et fournir une preuve de concept. 
• Si nous ne pouvons pas reproduire vos résultats, votre rapport ne pourra pas être rémunéré. N’utilisez pas plus que le nécessaire pour démontrer l’existence d’une faille de sécurité et rendez immédiatement tout actif que vous auriez réussi à récupérer.
• Il est interdit de révéler une vulnérabilité à toute autre personne.
• Toute tentative de contourner les procédures mentionnées dans la présente politique entraînera l’inéligibilité immédiate des paiements de primes. 
• Indiquez votre adresse Bitcoin (BTC) pour paiement. Toutes les récompenses seront attribuées en Bitcoin.
• Les paiements minimums sont définis ci-dessous. Tous les paiements peuvent être modifiés à la discrétion de Kraken.
• Le versement minimum est l’équivalent de 500 USD en Bitcoin (BTC).

Les étapes ci-dessous sont suivies pour traiter une demande de Bug Bounty :

1. Le rapport est envoyé à la boîte aux lettres de Bug Bounty.

2. La sécurité Kraken accuse réception de la demande (SLA 1 jour ouvrable).

3. La sécurité Kraken trie la demande (SLA 10 jours ouvrables).

4. La sécurité Kraken envoie une réponse complète. Si une vulnérabilité est confirmée, la notification inclut le niveau de gravité et le montant de la récompense (nous demanderons une adresse BTC).

5. Pour les failles de sécurité, Kraken envoie la récompense (SLA 14 jours ouvrables).

• 26 rapports récompensés au cours de l’année passée
• 434 rapports soumis au cours de l’année passée
• 3998 $ versement moyen au cours de l’année passée

Vous trouverez ci-dessous quelques-uns des chercheurs qui ont déjà été récompensés par le programme Bug Bounty de Kraken.

Critique

Les problèmes de gravité critique présentent un risque direct et immédiat pour un grand nombre de nos utilisateurs ou pour Kraken elle-même. Ils affectent souvent des composants de base/de niveau relativement bas dans l’un de nos groupes d’applications ou dans notre infrastructure. Par exemple :

• exécution d’un code/d’une commande arbitraire sur un serveur de notre réseau de production.
• requêtes arbitraires sur une base de données de production.
• contournement de notre processus de connexion, soit par mot de passe, soit par authentification à deux facteurs.
• accès aux données sensibles des utilisateurs de production ou accès aux systèmes de production internes.

Élevé

Les problèmes de gravité élevée permettent à une personne mal intentionnée de lire ou de modifier des données hautement sensibles auxquelles elle n’est pas autorisée à accéder. Ils sont généralement plus restreints que les problèmes critiques, même s’ils peuvent faire bénéficier une personne mal intentionnée d’un accès étendu. Par exemple :

• XSS qui contourne CSP
• Découverte de données utilisateur sensibles dans une ressource avec exposition publique
• Accès à un système non critique auquel un compte d’utilisateur final ne devrait pas avoir accès

Moyen

Les problèmes de gravité moyenne permettent à une personne mal intentionnée de lire ou de modifier un volume limité de données auxquelles elle n’est pas autorisée à accéder. Ils donnent généralement accès à des informations moins sensibles que les problèmes de gravité élevée. Par exemple :

• La divulgation d’informations non sensibles à partir d’un système de production auquel l’utilisateur ne devrait pas avoir accès
• XSS qui ne contourne pas CSP ou n’exécute pas d’actions sensibles dans la session d’un autre utilisateur
• CSRF pour les actions à risque faible

Bas

Les problèmes de faible gravité permettent à une personne mal intentionnée d’accéder à des volumes extrêmement limités de données. Ils peuvent enfreindre une attente quant à la façon dont quelque chose est censé fonctionner, mais ne permettent pratiquement pas d’escalade des privilèges ou de capacité à déclencher un comportement indésirable par une personne mal intentionnée. Par exemple :

• apparition de pages d’erreur détaillées ou de debug sans preuve d’exploitabilité ou obtention d’informations sensibles.

Inéligibilité

Les rapports qui ne nous intéressent pas et qui ne sont pas éligibles à la récompense comprennent :

• Vulnérabilités sur les sites hébergés par des tiers (support.kraken.com, etc.), à moins qu’elles n’entraînent une vulnérabilité sur le site Internet principal. Vulnérabilités et bugs sur le blog de Kraken (blog.kraken.com).
• Vulnérabilités dépendant d’attaques physiques, d’ingénierie sociale, de spamming, d’attaques DDOS, etc.
• Vulnérabilités affectant des navigateurs obsolètes ou non corrigés.
• Vulnérabilités dans les applications tierces qui utilisent l’API de Kraken.
• Vulnérabilités divulguées publiquement dans des bibliothèques tierces ou la technologie utilisée dans les produits, services ou infrastructures Kraken moins de 30 jours après la divulgation publique du problème.
• Vulnérabilités qui ont été rendues publiques avant que Kraken ne publie un correctif détaillé.
• Vulnérabilités déjà connues de nous ou déjà signalées par autrui (la récompense va au premier déclarant).
• Problèmes qui ne sont pas reproductibles.
• Vulnérabilités nécessitant un niveau improbable d’interaction avec l’utilisateur.
• Vulnérabilités nécessitant un root/jailbreak sur mobile.
• En-têtes de sécurité manquants sans preuve d’exploitabilité.
• Suites TLS Cipher proposées.
• Suggestions quant aux meilleures pratiques.
• Affichage de la version du logiciel.
• Tout rapport sans instructions détaillées ni preuve d’exploitation du concept joint.
• Problème que nous ne pouvons pas raisonnablement être tenus de résoudre, tels que les problèmes liés aux spécifications techniques que Kraken doit mettre en œuvre pour se conformer à ces normes.
• Le résultat des outils/scanners automatisés ou les rapports générés par IA.
• Problèmes sans aucun impact sur la sécurité.

Problèmes non liés à la sécurité

Vous pouvez nous faire part des problèmes non liés à la sécurité à l’adresse https://support.kraken.com.