Chez Bit2Me, nous adorons la culture hacker. Nous nous identifions fortement à ce courant qui fait partie de l'ADN de notre entreprise. À tel point que certains d'entre nous participent à des hackathons et à des journées de CTF (Capture-The-Flag). Chez Bit2Me, nous sommes toujours prêts à collaborer et à organiser des événements alignés sur cette philosophie.
Dans le but de faire progresser la société vers un monde où les cryptomonnaies comme le Bitcoin sont plus largement acceptées, nous nous efforçons de construire la meilleure plateforme de cryptomonnaies au monde.
Cela nous aidera à créer un monde bien plus juste et démocratique, sans le monopole de l'argent, tel qu'il existe actuellement avec l'argent des banques centrales, où quelques-uns asservissent le reste de l'humanité par leur mode de fonctionnement.
Nous sommes conscients du rythme effréné qu'une startup comme la nôtre peut avoir (mises à jour, nouveaux produits, ...). En tant qu'êtres humains, nous sommes également conscients que nous ne sommes pas parfaits et que nous pouvons parfois oublier quelque chose.
C'est pourquoi, communauté hacker, ce document est un appel à vous. Nous mettons à votre disposition le meilleur programme bug bounty que nous ayons pu créer, compte tenu de la taille actuelle de notre entreprise. Nous le mettrons à jour à mesure que nous grandirons.
Que devez-vous savoir ?
- Règles du programme
- Vulnérabilités déjà signalées
- Comment allons-nous procéder ? La cryptographie au pouvoir !
- Qu'est-ce que cela signifie ?
- Périmètre d'action (scope)
- Vulnérabilités qui NE seront PAS acceptées
- Comment signaler un bug ?
- Politique de réponses
- Récompenses
- Exemples de vulnérabilités que nous recherchons :
- Hall of Fame
Règles du programme
- Vous devez ajouter l'en-tête "X-BUGBOUNTY-HACKER: <votre_nom_de_hacker>" lorsque vous effectuez les tests afin que nous puissions identifier vos requêtes.
- Seuls les rapports de vulnérabilités non signalées auparavant seront acceptés. En cas de doublons, le premier rapporteur sera toujours récompensé (à condition qu'il ait respecté les règles énoncées ici, à défaut, l'ordre de signalement du plus ancien au plus récent sera suivi).
- Fournir des preuves et des informations suffisantes pour que notre équipe d'ingénieurs puisse reproduire et résoudre la vulnérabilité.
- Ne pas adopter de comportement illégal lors de la divulgation de la vulnérabilité à Bit2me, tel que des menaces, des poursuites ou tout autre type de tactique coercitive.
- Ne pas exploiter la vulnérabilité de manière à exfiltrer publiquement des informations sensibles, et ne pas tirer profit de l'exploitation de la vulnérabilité avant l'obtention de la récompense par Bit2me.
- Ne pas perpétrer la destruction de données ou l'interruption d'un service Bit2me au cours du processus.
- Ne signaler qu'une seule vulnérabilité par requête, à moins qu'il ne soit nécessaire d'enchaîner des vulnérabilités pour maximiser l'impact sur un type de vulnérabilité.
- Ne pas signaler une vulnérabilité causée par un problème sous-jacent qui serait le même qu'un problème pour lequel une récompense a déjà été versée dans le cadre de ce programme.
- Plusieurs vulnérabilités causées par un problème sous-jacent donneront lieu à une seule récompense.
- Une même vulnérabilité reproductible sur plus d'un service ou sous-domaine sera traitée comme une seule vulnérabilité.
- La publication sur tout support Internet de toute exploitation réussie effectuée pendant la participation au programme Bug Bounty n'est pas autorisée. En cas de violation de cette règle, les futures demandes de ce membre seront refusées et ses paiements de récompenses en attente seront suspendus.
Vulnérabilités déjà signalées
Une question normale que vous pouvez vous poser, et à juste titre, est la suivante : Comment puis-je être sûr(e) que Bit2Me sera honnête en rejetant la vulnérabilité en justifiant qu'elle a déjà été signalée ?
Comme le dit l'un des célèbres slogans du monde des cryptomonnaies : « Don't trust, Verify! » (Ne faites pas confiance, vérifiez !)
Comme vous le savez, nous aimons innover et nous adorons la technologie des cryptomonnaies. Dans cet esprit, et pour montrer l'exemple des valeurs et des avantages qu'apporte la technologie Blockchain, toute vulnérabilité signalée et acceptée sera publiée sur la Blockchain.
Comment allons-nous procéder ? La cryptographie au pouvoir !
Une fois qu'une vulnérabilité est signalée et acceptée, avant même qu'elle ne soit résolue par notre équipe, nous procéderons comme suit :
Nous prendrons toutes les informations sur la vulnérabilité et créerons un rapport au format PDF.
À partir du rapport PDF nouvellement créé, nous générerons une empreinte numérique (hash checksum).
Nous émettrons une transaction sur la blockchain Ethereum en y incluant le hash généré du document.
Cette transaction restera transparente et immuable sur le réseau pour toujours, étant totalement impossible à modifier, et reflétant le moment précis de sa création.
Qu'est-ce que cela signifie ?
Si ce hash existait à ce moment-là, cela signifie que le document, et par conséquent les informations qu'il contient, existaient également.
Si, par la suite, quelqu'un nous signale une vulnérabilité similaire, nous lui fournirons le rapport PDF et la transaction.
Avec le rapport, il pourra générer lui-même l'empreinte numérique et vérifier que ce hash a déjà été enregistré par le passé, grâce à la transaction Ethereum fournie, où il pourra voir la date exacte de celle-ci.
Pour le hash / checksum du rapport, nous utiliserons l'algorithme SHA-512.
Périmètre d'action (scope)
Nous avons limité le périmètre d'action pour la recherche de vulnérabilités aux domaines / sous-domaines suivants :
bit2me.com
account.bit2me.com
wallet.bit2me.com
converter.bit2me.com
explorer.bit2me.com
gateway.bit2me.com
Applications Bit2me Android et iOS
Vulnérabilités qui NE seront PAS acceptées
- Tout actif en dehors du périmètre indiqué.
- Bien que les vulnérabilités pouvant entraîner un déni de service (DoS) soient autorisées, qu'elles soient dues à des incohérences de code, à des services obsolètes sur la plateforme ou à des bibliothèques générant des boucles cyclomatiques excessives, les dénis de service distribués (DDoS), tels que les attaques via des botnets ou avec des outils de flooding, sont exclus du périmètre.
- Énumération de comptes/e-mails.
- Attaques par force brute.
- Usurpation de contenu (content spoofing) et injection de texte sans capacité de modifier HTML/CSS.
- Auto-exploitation (par exemple, XSS réussi uniquement exécuté en local, scripting dans la console, réutilisation de jeton ...).
- En-têtes CORS permissives.
- Clickjacking avec des actions à impact minimal.
- Tab-nabbing.
- Vulnérabilités liées à l'autocomplétion des formulaires.
- Absence d'en-têtes ou de drapeaux (CSP, X-Frame-Options, Strict-Transport-Security, Content-sniffing, HTTPOnly flag, attributs de lien "noopener noreferrer", etc.) ne pouvant pas entraîner une exploitation directe.
- Manque de bonnes pratiques dans la configuration SSL/TLS.
- Prise en charge de méthodes HTTP comme OPTIONS.
- Attaques CSRF sans compromettre l'authentification ou les opérations critiques (ajouter aux favoris, déconnexion, etc.).
- Exposition de versions de logiciels ou de services obsolètes.
- Exposition de répertoires ou fichiers publics (comme robots.txt) à impact minimal.
- Bugs dans les navigateurs non courants ou dans les navigateurs non pris en charge par Bit2Me.
- Attaques MITM nécessitant un accès physique au dispositif d'un utilisateur.
- Toute attaque physique contre les propriétés de Bit2me ou ses centres de données.
- Panneaux de connexion accessibles publiquement.
- Problèmes d'UX ou d'ergonomie qui n'impliquent pas de failles de sécurité.
- Problèmes n'ayant pas d'impact sur la sécurité (par exemple, échec de chargement d'une page).
- Ingénierie sociale, phishing, vishing, smishing contre les employés, fournisseurs, clients ou utilisateurs de Bit2Me.
- Vulnérabilités déjà connues de nous ou déjà signalées par quelqu'un (la récompense ira au premier rapporteur).
- Autres…
Comment signaler un bug ?
Envoyez votre rapport à l'adresse e-mail : security@bit2me.com.
Incluez le plus grand nombre de preuves possibles : titre de la vulnérabilité exploitée, description de chaque étape de l'exploitation, outils utilisés lors de l'exploitation, version du navigateur, joignez des captures d'écran (voire une vidéo), etc.
Incluez la PoC (preuve de concept), si vous l'avez réalisée. Il sera obligatoire d'inclure une explication sur la manière de corriger la vulnérabilité signalée.
Attendez jusqu'à 10 jours ouvrables pour que notre équipe étudie votre demande et reçoive une réponse quant à l'acceptation de votre demande. En cas d'acceptation, la récompense vous sera versée dans le délai stipulé dans la Politique de réponses (*voir politique de réponses).
Politique de réponses
Bit2Me fera toujours tout son possible pour respecter la politique de réponse suivante aux demandes envoyées par les hackers participant à notre programme :
Notre délai maximum pour les réponses concernant l'acceptation de la vulnérabilité (à partir de la réception du rapport) est de : 10 jours ouvrables.
Le paiement de la récompense sera effectué lorsque la vulnérabilité sera résolue. Cette période peut prendre des jours, voire des semaines.
Les paiements peuvent être effectués de la manière suivante :
Cryptomonnaies : Nous adorons les cryptomonnaies et, si vous les aimez aussi, ce sera un plaisir de vous verser la récompense en cryptomonnaies comme Bitcoin, Ethereum, Monero ou d'autres.
Récompenses
Les récompenses accordées par Bit2Me varient de 50€ pour les vulnérabilités faibles à 5 000€ pour les plus critiques.
Les récompenses normales seront administrées en fonction de nos critères de criticité de la vulnérabilité :

Pour les vulnérabilités que l'équipe interne de cybersécurité de l'entreprise considère comme TRÈS critiques, Bit2Me propose une récompense spéciale de 5 000€.
Note : Si le rapport n'inclut pas une PoC (preuve de concept) valide, la qualification de la récompense sera décidée en fonction de la reproductibilité et de la gravité de la vulnérabilité, et le montant de la récompense pourra être significativement réduit. |
Exemples de vulnérabilités que nous recherchons :
- XSS (à l'exclusion du self-XSS).
- CSRF (à l'exclusion des CSRF impliquant des actions sans impact).
- Exécution de code à distance (Remote Code Execution).
- Contournement d'authentification (Authentication Bypass).
- Injection SQL (SQL Injection).
- Fuite d'informations sensibles.
- LFI/RFI.
- Élévation de privilèges (Privilege Escalation).
- Vulnérabilités pouvant entraîner une perte de fonds ou de biens de l'utilisateur.
- Vulnérabilités pouvant entraîner la fuite à distance de données confidentielles de l'entreprise.
Hall of Fame
Toutes les personnes ou entités qui signaleront des vulnérabilités récompensées seront publiées, si elles le souhaitent.
Voici les membres qui, à ce jour, ont signalé une vulnérabilité acceptée :
- Ch Chakradhar
- White Coast Security Private Limited
- Abhishek Pal
- Javier Andreu
- Pratik Yadav
- Sachin Pandey
- Shashank Jyoti
- Moein Abas
- Yash Ahmed Quashim
- Volodymyr "Bob" Diachenko
- Fahim Ali
- Felipe Martinez
- Taniya & Rohan
- Shubham Kushwaha
- Pawan Rawat
- Akash Hamal
- Mehedi Hasan
- Anchal Vij
- Soumen Jana
- Rohan
- Mayank Sahu
- Kartik Singh
- Niket Popat
Cet article a-t-il été utile ?
C'est super !
Merci pour votre commentaire
Désolé ! Nous n'avons pas pu vous être utile
Merci pour votre commentaire
Commentaires envoyés
Nous apprécions vos efforts et nous allons corriger l'article