# Programme de bug bounty YUBIT Nous sommes ravis d’annoncer le lancement du **Programme de bug bounty YUBIT** et encourageons chaleureusement les chercheurs en sécurité et les membres de la communauté à participer en signalant des vulnérabilités. 📩 Veuillez envoyer vos rapports de bugs à : ****\ Notre équipe de sécurité examinera et validera rapidement les soumissions et vous contactera après confirmation.\ Vos contributions à la sécurité sont grandement appréciées ! *** ### 1. Bug Bounty Web **Périmètre des tests :** * [www.yubit.com](https://www.yubit.com) **Gamme de récompenses :** * Risque faible : **50 $ – 100 $** * Risque moyen : **100 $ – 500 $** * Risque élevé : **500 $ – 1 000 $** * Critique : **1 000 $ – 5 000 $** *** ### 2. Définitions de la gravité des vulnérabilités Web #### (1) Vulnérabilités critiques Affectent les systèmes métier essentiels (systèmes de contrôle, contrôleurs de domaine, systèmes de distribution, bastions, etc.) et peuvent causer de graves dommages.\ **Résultats possibles :** * Prise de contrôle non autorisée des systèmes métier * Accès aux droits d’administrateur des systèmes centraux * Contrôle total de l’infrastructure centrale\ **Exemples :** * Prise de contrôle de plusieurs appareils sur le réseau interne * Accès aux privilèges de super administrateur du backend, entraînant d’importantes fuites de données * Exploits de dépassement ou de condition de concurrence de contrats intelligents #### (2) Vulnérabilités à haut risque * Escalade de privilèges (GetShell, exécution de commandes) * Injection SQL * Contournement de l’authentification, mots de passe faibles, SSRF, exposition de données sensibles * Lecture arbitraire de fichiers / XXE * Transactions non autorisées ou contournement de la logique de paiement * Graves failles logiques (par ex., se connecter en tant que n’importe quel utilisateur, réinitialisations massives de mots de passe) * XSS stocké (impact large) * Fuite massive de code source * Mauvaises configurations de privilèges des contrats intelligents #### (3) Vulnérabilités à risque moyen * Problèmes nécessitant une interaction de l’utilisateur (par ex., XSS stocké, CSRF) * Contournement d’autorisation horizontale/parallèle * Déni de service (DoS) * Failles de CAPTCHA menant à des attaques par force brute * Fuite locale de clés sensibles #### (4) Vulnérabilités à faible risque * DoS local (crash du client) * Divulgation mineure d’informations (traversée de chemins, liste de répertoires) * XSS réfléchi/DOM * CSRF de base * Problèmes de redirection d’URL * Spam par SMS/e-mail (limité par système) * Autres problèmes à faible impact ou non démontrés *** ### 3. Vulnérabilités non acceptées * Usurpation d’e-mail * Énumération d’utilisateurs * Self-XSS / injection HTML * CSP / SRI manquants * CSRF non sensible * Problèmes de configuration Android (par ex., `android:allowBackup="true"`) * Problèmes liés uniquement aux performances (par ex., rendu d’image lent) * Divulgation de la version d’un composant tiers (par ex., version d’Nginx) * Bugs fonctionnels non liés à la sécurité * Ingénierie sociale contre les employés de YUBIT *** ### 4. Définitions des vulnérabilités des contrats intelligents #### (1) Critique * Manipulation du vote de gouvernance * Vol direct des fonds des utilisateurs (hors récompenses non réclamées) * Gel permanent des fonds * Exploitation de la valeur extractible par les mineurs (MEV) * Insolvabilité du protocole #### (2) Risque élevé * Vol ou gel des récompenses/royalties non réclamées * Gel temporaire des fonds #### (3) Risque moyen * Arrêt du contrat dû à l’épuisement des jetons * Exploitation de la congestion du réseau à des fins de profit * Vol de gas ou utilisation forcée et excessive de gas * Sabotage perturbateur, non lucratif #### (4) Faible risque * Aucune perte directe de fonds, mais atteinte à la confiance/aux engagements * Risques informatifs (erreurs d’oracle, attaques de gouvernance, risques de liquidité, attaques Sybil, etc.) * Recommandations de bonnes pratiques *** ### 5. Activités interdites * Ingénierie sociale ou attaques de phishing * Divulgation publique ou diffusion des détails d’une vulnérabilité * Tests destructifs (seule une preuve de concept est autorisée) * Analyse à grande échelle non autorisée * Modification de pages web, inondation de pop-ups, vol de cookies ou charges utiles intrusives * Tout dommage non signalé pendant les tests ⚠️ Le non-respect des règles peut entraîner **des conséquences juridiques**. *** ### 6. Note de clôture Merci de contribuer à la sécurité de la plateforme YUBIT.\ Ensemble, nous pouvons construire un **écosystème crypto plus sûr et plus transparent**. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://yubit.gitbook.io/yubit/fr/autre-aide/programme-de-bug-bounty-yubit.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.