Kraken
Security Labs
Kraken est la plateforme d’échange d’actifs numériques la plus sécurisée, car la sécurité est notre motivation ultime. De fait, nous disposons de plusieurs équipes de classe mondiale spécialisées dans le test de nos produits et services.
Cependant, nous sommes certains que notre réussite est liée à celle des autres membres de la communauté des crypto-monnaies.
Kraken
Security Labs
C’est pourquoi nous avons créé Kraken Security Labs, une équipe d’élite de chercheurs en sécurité qui vise à protéger et à développer l’écosystème des crypto-monnaies en :
Tester des produits et des services tiers courants
Travailler avec les fournisseurs pour résoudre ces problèmes
Informer le public sur les moyens à mettre en place pour se protéger au mieux
Un engagement en faveur d’une divulgation responsable
Lorsqu’un chercheur en sécurité découvre une vulnérabilité, la meilleure pratique consiste à contacter le fournisseur pour qu’il puisse corriger le problème.
Bien que simple en théorie, de nombreux problèmes peuvent survenir en pratique :
Que se passe-t-il si le fournisseur concerné ne répond pas ?
Il se peut que le fournisseur ne souhaite pas reconnaître le problème ou qu’il ne dispose d’aucun programme bug bounty.
Combien de temps faut-il accorder au fournisseur pour résoudre le problème ?
Certains problèmes de sécurité étant difficiles à résoudre, les fournisseurs préfèrent souvent privilégier les nouvelles fonctionnalités plutôt que de résoudre les problèmes.
Le chercheur doit-il divulguer le problème au public et, le cas échéant, quand ?
La crainte de tous les chapeaux blancs (également appelés pirates éthiques) est de détecter un problème qui est déjà connu et exploité par les personnes malveillantes. Lorsqu’un fournisseur ne publie pas de correctif, le public est dans l’ignorance et ne dispose pas des connaissances nécessaires pour se protéger. La divulgation publique est le seul moyen que les chercheurs ont pour faire pression sur un fournisseur pour qu’il corrige le problème.
En d’autres termes, chacun interprète à sa manière le concept de divulgation responsable des vulnérabilités. Il est intrinsèquement difficile de trouver un équilibre entre les besoins des fournisseurs et ceux des utilisateurs.
Nous sommes convaincus qu’il est essentiel que des équipes de recherche comme les nôtres collaborent avec les fournisseurs pour résoudre les problèmes de leurs produits et les divulguer au public.
Pour atteindre cet objectif, Kraken Security Labs a communiqué et travaillé avec les fournisseurs pour résoudre des problèmes sur une large gamme de produits et services de crypto-monnaie. Les détails de notre politique de divulgation des vulnérabilités sont accessibles en cliquant ici.
Portefeuilles matériels de crypto-monnaie
Nous pensons que vous ne devriez pas stocker tous vos fonds sur une plateforme d’échange quelle qu’elle soit, y compris la nôtre.
Par conséquent, nous achetons et testons régulièrement des produits qui vous donnent la possibilité de stocker et de conserver vous-mêmes vos crypto-actifs.
Nous avons publié des articles sur des problèmes et nos conseils pour les produits suivants :
Services de crypto-monnaie
Chez Kraken, nous encourageons tous nos clients à tester et à vérifier tout service de crypto-monnaie auquel ils pourraient décider de confier leurs fonds ou leurs données.
Nous avons publié des articles sur des problèmes et nos conseils pour les services suivants :
Notre philosophie de divulgation
Vous entendez des rapports contradictoires concernant une divulgation de Kraken Security Labs ?
Sachez qu’il est courant que les fournisseurs et les chercheurs soient en désaccord sur la gravité d’un problème.
En d’autres termes, les chercheurs veulent que leur travail ait un impact optimal, tandis que les fournisseurs cherchent généralement à minimiser l’étendue du problème.
Interprétation de la gravité
En règle générale, les vulnérabilités de sécurité sont classées par niveaux, de Faible à Critique, même si peu de celles divulguées par Kraken Security Labs ou d’autres chercheurs sont de niveau Critique.
Cependant, nous pensons qu’il est essentiel que ces défauts soient exposés.
Même une infime quantité de vulnérabilités, qu’elles soient de gravité Faible, Moyenne ou Élevée, peut avoir un impact important sur l’appareil cible si le pirate les utilise de manière coordonnée.
Avantages de la mutualisation
La publication de ces résultats peut entraîner des travaux supplémentaires.
Bien souvent, les chercheurs en sécurité s’appuient sur le travail de confrères, soulèvent des problèmes qui mériteraient d’être corrigés même s’ils ne représentent pas un danger absolu et publient des recherches que le fournisseur ne juge pas utiles de corriger dans l’immédiat.
De ce fait, il ne serait pas responsable pour un chercheur en sécurité de se taire parce qu’il n’a pas trouvé de problème de gravité Critique.
Nous nous efforçons de rendre nos divulgations aussi compréhensibles et transparentes que possible pour le grand public, afin que vous puissiez faire des choix éclairés quant à la gravité du problème.
Ensemble, un secteur plus fort
Kraken n’est pas le seul à penser que le secteur est plus fort et plus sûr lorsque les équipes de recherche et les fournisseurs travaillent ensemble.
Comme vous pouvez le constater dans les témoignages ci-dessous, Kraken Security Labs est en phase avec les valeurs et les besoins du secteur des crypto-monnaies.
Nous sommes heureux que Kraken Security Labs investisse ses ressources dans l’amélioration de la sécurité de l’ensemble de l’écosystème Bitcoin. Nous apprécions ce genre de coopération et de divulgation responsable.
CoolBitX remercie chaleureusement l’équipe de Kraken Security Labs d’avoir examiné la résilience des processus de sécurité de CoolWallet S avec autant de précision. L’apport d’une perspective aussi nouvelle et experte sur les vecteurs d’attaque possibles et les vulnérabilités des appareils est un atout inestimable pour notre équipe et la communauté que nous servons.
Nous aimerions également prendre le temps de remercier Kraken pour son incroyable travail. Nous apprécions infiniment son engagement comme s’il faisait partie de notre propre équipe Ledger Donjon : contribuant à renforcer la sécurité de l’ensemble du secteur des crypto-monnaies.
Suivez-nous !
Pour suivre nos avancées et rester informé, ajoutez notre blog officiel à vos favoris ou saisissez votre adresse email pour vous abonner et recevoir les notifications de nos nouveaux articles par email.