Portail de sécurité
Parce que votre sécurité n'est jamais optionnelle.
Rejoignez le programme de chasse au bug Trezor
Aidez-nous à sécuriser l’avenir de l’auto-garde. Signalez les vulnérabilités. Gagnez des récompenses.
Suivez ces règles :
Agissez de bonne foi afin de protéger les données de l'utilisateur et de l'entreprise.
Donnez-nous le temps de régler le problème avant de le dévoiler publiquement.
Évitez toute fraude ou préjudice lors de vos recherches.
Sujets pertinents
Appareils Trezor et firmware
- Extraction ou injection de la phrase de récupération
- Contournement du code PIN
- Contournement de la confirmation utilisateur
- Extraction de la clé privée
- Attaques physiques et sur la chaîne d'approvisionnement
Cette catégorie est la plus importante car Trezor est le point de sécurité ultime dans notre modèle de menaces.
Application Trezor Suite et Trezor Connect
- Script inter-site (XSS)
- Librairies tierces et attaques de la chaîne d’approvisionnement
- Vulnérabilités dans les sections trading ou staking
Blockbook et autre infrastructure serveur
- Exploitation du serveur Blockbook
- Mauvaises configurations de l’infrastructure serveur
Trezor.io
- Script inter-site (XSS)
- Librairies tierces et attaques de la chaîne d’approvisionnement
- Contrôle d’accès défectueux
- Exposition de données sensibles
- Injection SQL
- Configuration incorrecte du serveur
- Manipulation des paiements et des commandes
Tout autre problème n'étant pas listé ci-dessus mais pas exclu des conditions générales.
Plus de détails dans les conditions complètesStructure des récompenses
Type de vulnérabilité
Récompense
Bas
$0 – $2 000
Moyen
$250 – $5 000
Élevé
$500 – $10 000
Critique
1 000 $ – 100 000 $*
La récompense dépend du produit concerné et de la gravité. Nous nous réservons le droit de déterminer la gravité et l’éligibilité des signalements.
*Dans des cas exceptionnellement désastreux, il n'y a pas de limite supérieure.
Plus de détails dans les conditions complètesComment signaler
Contactez-nous à [email protected] et veuillez inclure :
- Code – Une preuve de concept illustrant le problème.
- Description – Une explication détaillée du bug et de son impact potentiel.
- Nom ou pseudonyme (optionnel) – Afin d'être inclus dans notre liste de problèmes passés.
Dans le cas où vous considérez qu’il s’agit d’un sujet sensible, nous fournirons les instructions pour configurer un canal crypté Signal.
Conditions complètes
Nous nous réservons le droit de déterminer la gravité et l’éligibilité des signalements.
Vulnérabilités résolues
Signalé par la communauté. Examiné. Résolu. Parce que votre sécurité n’est jamais optionnelle.
- Inability to cancel certain flows on pre-production firmware31 octobre 2025
- Fix side-channel in BIP-39 mnemonic processing when unlocked24 septembre 2025
- Donjon's Trezor Safe 3 evaluation12 novembre 2024
- Missing confirmation in the ECDHSessionKey call26 novembre 2023
- XSS in Trezor Connect legacy versions7 février 2023
- Insufficient field size check in Protobuf12 juillet 2021