Engagement en faveur de la sécurité
Chez LastPass, la sécurité est notre priorité, ce qui implique également de réagir rapidement aux signalements de bugs et de vulnérabilités. Si LastPass parvient à offrir un niveau de sécurité élevé à ses utilisateurs, c’est aussi grâce à la mise à l’épreuve de nos technologies par la communauté. Nous apprécions le travail important effectué par la communauté des chercheurs en sécurité, ainsi que la divulgation responsable des problèmes. En outre, nous estimons que lorsque le processus de sécurité fonctionne comme prévu, tout le monde en bénéficie.
Remarque : si vous êtes un utilisateur de LastPass et craignez que votre compte ait été piraté, compromis ou exposé à tout autre risque, veuillez contacter l’équipe d’assistance LastPass. Nous examinerons et transmettrons votre problème de façon appropriée.
Envoyer un rapport de sécurité
Si vous êtes un chercheur en sécurité qui pensez avoir trouvé une vulnérabilité ou un bug de sécurité dans LastPass, veuillez procéder de la manière suivante :
- Lisez la FAQ sur la sécurité LastPass pour vérifier que votre problème n’a pas déjà été traité.
- Envoyez votre rapport via notre programme de récompense Bug Bounty sur BugCrowd.
- Si possible, intégrez un exemple de code et un enregistrement vidéo qui documente la faille.
- Montrez clairement comment le bug ou la vulnérabilité affecte les données utilisateur ou les systèmes LastPass.
- Accordez-nous suffisamment de temps pour examiner votre rapport et y répondre, et collaborez avec nous pour évaluer la situation et approuver une éventuelle publication de vos conclusions.
- Évitez de consulter, modifier ou voler les données des utilisateurs, ou de perturber la disponibilité de LastPass (y compris via une attaque DDoS).
Lorsque vous signalez un problème potentiel, veuillez nous fournir suffisamment d’informations pour que nous puissions le reproduire. Il peut s’agir des étapes précises pour reproduire le bug, des liens sur lesquels vous avez cliqué, des pages que vous avez visitées, d’URL et des adresses e-mail des comptes affectés. Merci d’inclure un exemple de code et des images ou un enregistrement vidéo qui documente clairement la faille que vous avez potentiellement identifiée.
Pour chiffrer les informations sensibles, vous pouvez utiliser cette clé publique :
Afficher la clé publique
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.12 (GNU/Linux)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=ZmTr
-----END PGP PUBLIC KEY BLOCK-----
Remarque : si vous utilisez des outils automatisés pour détecter des vulnérabilités, sachez qu’ils signalent souvent des faux positifs.
Réponse aux rapports
Une fois que nous recevons un rapport, nous prenons des mesures pour l’analyser et évaluer sa gravité. Si nous tentons de corriger le problème identifié, en fonction de sa gravité, nous sommes susceptibles de vous contacter pour obtenir des informations complémentaires. Nous déploierons les correctifs nécessaires auprès des utilisateurs concernés en fonction de la gravité du problème et de son impact potentiel. Nous clôturerons le rapport une fois le problème résolu ou traité de manière jugée satisfaisante.
