Choisir une option :
Langue :

Divulgation Responsable

Coinomi valorise le travail effectué par les chercheurs en sécurité pour améliorer la sécurité de nos produits et services. Nous nous engageons à travailler avec la communauté pour vérifier, reproduire et répondre aux vulnérabilités signalées de manière légitime. Nous encourageons la communauté à participer à notre processus de divulgation responsable.

Si vous êtes un chercheur en sécurité et que vous souhaitez signaler une vulnérabilité, veuillez envoyer un e-mail à : [email protected] Veuillez fournir votre nom, vos coordonnées et le nom de votre entreprise (le cas échéant) avec chaque rapport. La priorité sera accordée aux rapports chiffrés : veuillez inclure votre clé publique PGP avec le rapport.

Télécharger la clé PGP Coinomi

Directives de Divulgation Responsable

Nous examinerons les rapports légitimes et mettrons tout en œuvre pour corriger rapidement toute vulnérabilité confirmée. Pour encourager le signalement responsable, nous nous engageons à ne pas intenter de poursuites judiciaires contre vous ni à demander aux forces de l’ordre d’enquêter sur vous si vous respectez les directives de divulgation responsable suivantes :

  1. Fournir des détails sur la vulnérabilité, y compris les informations nécessaires pour reproduire et valider la vulnérabilité ainsi qu’une preuve de concept (POC).
  2. Faire un effort de bonne foi pour éviter les violations de la vie privée, la destruction de données et l’interruption ou la dégradation de nos services.
  3. Ne pas modifier ou accéder à des données qui ne vous appartiennent pas.
  4. Nous accorder un délai raisonnable pour corriger le problème avant de rendre toute information publique.
  5. Nous acceptons uniquement les rapports pour les services fournis exclusivement par Coinomi et non par un tiers.

Nous ferons tout notre possible pour répondre à votre divulgation dans un délai de 1 à 2 jours ouvrables.

Les divulgations qui ne sont pas entièrement conformes aux directives ci-dessus ne seront pas admissibles aux primes ou à l’une des assurances qui y sont mentionnées.

Applications

Nous sommes principalement intéressés par les vulnérabilités qui permettraient éventuellement aux attaquants de compromettre les portefeuilles et/ou les actifs cryptographiques des applications Coinomi.

Ces vulnérabilités sont incluses :

  1. Contournement du code PIN ou de la biométrie, à l’exclusion des fonctionnalités fournies nativement par le système d’exploitation
  2. Contournement de la confirmation de l’utilisateur pour signer une transaction
  3. Fuites de données sensibles via l’accès à la mémoire, le trafic réseau, le stockage local de l’appareil, etc.
  4. Arbre de dépendance, c’est-à-dire les attaques de la chaîne d’approvisionnement
  5. Vulnérabilités cryptographiques liées à la dérivation BIP-39/32/44 et aux courbes elliptiques

Ces vulnérabilités sont exclues :

  1. Jetons de service Firebase non chiffrés.
Sites Web

Nous sommes intéressés par les vulnérabilités critiques dans notre infrastructure, y compris le front-end et le back-end.

Ces vulnérabilités sont exclues :

  1. Présence/absence d’enregistrements SPF/DMARC.
  2. Manque de jetons CSRF.
  3. Problèmes de « clickjacking » et de « tabnabbing ».
  4. En-têtes de sécurité manquants qui n’entraînent pas directement une vulnérabilité.
  5. Manque de bonnes pratiques (nous exigeons la preuve d’une vulnérabilité de sécurité).
  6. Rapports provenant d’outils ou d’analyses automatisés.
  7. Rapports de chiffrements SSL/TLS non sécurisés (sauf si vous avez une preuve de concept fonctionnelle, et pas seulement un rapport provenant d’un scanner).
  8. Absence de limitation de débit.
  9. Logiciel obsolète sans aucune vulnérabilité notable.
  10. Liens brisés.
  11. Vulnérabilités dans les services de tiers, c’est-à-dire Zendesk, Twitter, etc. (signalez-les directement à eux)