Kraken
Security Labs

Kraken est la plateforme d’échange d’actifs numériques la plus sécurisée, car la sécurité est notre motivation ultime. De fait, nous disposons de plusieurs équipes de classe mondiale spécialisées dans le test de nos produits et services.

 

Cependant, nous sommes certains que notre réussite est liée à celle des autres membres de la communauté des crypto-monnaies.

Kraken Security Labs

Kraken
Security Labs

C’est pourquoi nous avons créé Kraken Security Labs, une équipe d’élite de chercheurs en sécurité qui vise à protéger et à développer l’écosystème des crypto-monnaies en :

Beaker

Tester des produits et des services tiers courants

Tools

Travailler avec les fournisseurs pour résoudre ces problèmes

Loudspeaker

Informer le public sur les moyens à mettre en place pour se protéger au mieux

Un engagement en faveur d’une divulgation responsable

Lorsqu’un chercheur en sécurité découvre une vulnérabilité, la meilleure pratique consiste à contacter le fournisseur pour qu’il puisse corriger le problème.

 

Bien que simple en théorie, de nombreux problèmes peuvent survenir en pratique :

 

Que se passe-t-il si le fournisseur concerné ne répond pas ?

 

Il se peut que le fournisseur ne souhaite pas reconnaître le problème ou qu’il ne dispose d’aucun programme bug bounty.

 

 

Combien de temps faut-il accorder au fournisseur pour résoudre le problème ?

 

Certains problèmes de sécurité étant difficiles à résoudre, les fournisseurs préfèrent souvent privilégier les nouvelles fonctionnalités plutôt que de résoudre les problèmes.

 

 

Le chercheur doit-il divulguer le problème au public et, le cas échéant, quand ?

 

La crainte de tous les chapeaux blancs (également appelés pirates éthiques) est de détecter un problème qui est déjà connu et exploité par les personnes malveillantes. Lorsqu’un fournisseur ne publie pas de correctif, le public est dans l’ignorance et ne dispose pas des connaissances nécessaires pour se protéger. La divulgation publique est le seul moyen que les chercheurs ont pour faire pression sur un fournisseur pour qu’il corrige le problème.

Kraken Security Labs

En d’autres termes, chacun interprète à sa manière le concept de divulgation responsable des vulnérabilités. Il est intrinsèquement difficile de trouver un équilibre entre les besoins des fournisseurs et ceux des utilisateurs.

 

Nous sommes convaincus qu’il est essentiel que des équipes de recherche comme les nôtres collaborent avec les fournisseurs pour résoudre les problèmes de leurs produits et les divulguer au public.

 

Pour atteindre cet objectif, Kraken Security Labs a communiqué et travaillé avec les fournisseurs pour résoudre des problèmes sur une large gamme de produits et services de crypto-monnaie. Les détails de notre politique de divulgation des vulnérabilités sont accessibles en cliquant ici.

Portefeuilles matériels de crypto-monnaie

Nous pensons que vous ne devriez pas stocker tous vos fonds sur une plateforme d’échange quelle qu’elle soit, y compris la nôtre.

 

Par conséquent, nous achetons et testons régulièrement des produits qui vous donnent la possibilité de stocker et de conserver vous-mêmes vos crypto-actifs.

 

Nous avons publié des articles sur des problèmes et nos conseils pour les produits suivants :

Services de crypto-monnaie

Chez Kraken, nous encourageons tous nos clients à tester et à vérifier tout service de crypto-monnaie auquel ils pourraient décider de confier leurs fonds ou leurs données.

 

Nous avons publié des articles sur des problèmes et nos conseils pour les services suivants : 

Notre philosophie de divulgation

Vous entendez des rapports contradictoires concernant une divulgation de Kraken Security Labs ?

 

Sachez qu’il est courant que les fournisseurs et les chercheurs soient en désaccord sur la gravité d’un problème.

 

En d’autres termes, les chercheurs veulent que leur travail ait un impact optimal, tandis que les fournisseurs cherchent généralement à minimiser l’étendue du problème.

 

 

Interprétation de la gravité

 

En règle générale, les vulnérabilités de sécurité sont classées par niveaux, de Faible à Critique, même si peu de celles divulguées par Kraken Security Labs ou d’autres chercheurs sont de niveau Critique. 

 

Cependant, nous pensons qu’il est essentiel que ces défauts soient exposés.

 

Même une infime quantité de vulnérabilités, qu’elles soient de gravité Faible, Moyenne ou Élevée, peut avoir un impact important sur l’appareil cible si le pirate les utilise de manière coordonnée.

Avantages de la mutualisation

 

La publication de ces résultats peut entraîner des travaux supplémentaires.

 

Bien souvent, les chercheurs en sécurité s’appuient sur le travail de confrères, soulèvent des problèmes qui mériteraient d’être corrigés même s’ils ne représentent pas un danger absolu et publient des recherches que le fournisseur ne juge pas utiles de corriger dans l’immédiat.

 

De ce fait, il ne serait pas responsable pour un chercheur en sécurité de se taire parce qu’il n’a pas trouvé de problème de gravité Critique.

 

Nous nous efforçons de rendre nos divulgations aussi compréhensibles et transparentes que possible pour le grand public, afin que vous puissiez faire des choix éclairés quant à la gravité du problème.

Suivez-nous!

Pour suivre nos avancées et rester informé, ajoutez notre blog officiel à vos favoris ou saisissez votre adresse email pour vous abonner et recevoir les notifications de nos nouveaux articles par email.