Communication directe avec l’équipe de sécurité de LastPass
Les clients qui rencontrent un problème de sécurité peuvent le signaler par e-mail à l’adresse securitydisclosure@lastpass.com, où il sera transmis à l’équipe de surveillance des menaces.
Lors du signalement d’un problème potentiel, nous demandons aux utilisateurs d’être le plus exhaustif possible en nous fournissant toutes les informations nécessaires pour que l’équipe LastPass puisse reproduire le problème. Il peut s’agir des étapes précises pour reproduire le bogue, des liens sur lesquels il faut cliquer, des pages visitées, des URL et de l’adresse e-mail des comptes affectés. Merci d’inclure un exemple de code et des images ou un enregistrement vidéo qui documente clairement la faille.
Si vous utilisez des outils automatisés pour détecter des vulnérabilités, sachez qu’ils signalent souvent des faux positifs.
Signaler les e-mails suspects
Vous avez reçu un e-mail suspect ? Vous voulez le signaler pour vérifier s’il est authentique ?
Veuillez transférer l’e-mail douteux à abuse@lastpass.com. Notre équipe prendra alors les mesures nécessaires, et nous vous indiquerons si l’e-mail est authentique.
Programme de récompense Bug Bounty
En complément de notre propre programme de divulgation responsable, LastPass participe à un programme de récompense Bug Bounty hébergé chez BugCrowd pour simplifier le travail effectué par les chercheurs en sécurité pour détecter et publier de manière responsable les bugs de sécurité avérés. Nous apprécions le travail important effectué par la communauté des chercheurs en sécurité, ainsi que leur divulgation responsable des problèmes.
Nous acceptons les signalements sur BugCrowd pour tous nos produits, dont nos solutions de gestion des mots de passe, SSO et MFA.
Consulter les informations sur le programme
Réponse aux questions de sécurité
Lorsqu’un problème de sécurité nous est signalé, directement ou sur BugCrowd, notre équipe suit généralement la procédure ci-dessous :
- Elle prend des mesures pour analyser le signalement et évaluer sa gravité.
- Elle contacte l’expéditeur directement pour accuser réception du signalement et obtenir des informations complémentaires en cas de besoin.
- Si nous sommes en mesure de reproduire le problème et déterminons qu’une action est nécessaire, nous corrigeons le problème ou faisons de notre mieux pour en limiter les effets. Bien que les problèmes soient généralement corrigés rapidement, le déploiement d’un correctif dépend de la complexité et de la gravité du problème, et du processus de publication des mises à jour.
- Une fois que nous avons pris les mesures nécessaires pour résoudre le problème, nous clôturons le dossier.
Remarque : Ceci ne constitue pas une autorisation ou une incitation à obtenir un accès illicite aux applications LastPass, à télécharger ou divulguer des informations propriétaires ou confidentielles (dont les données de clients), à perturber ou à pirater le fonctionnement ou les données de LastPass, ou à enfreindre la loi.
