Politique de sécurité - Divulgation responsable

Aperçu de la politique

Nous prenons la sécurité de nos systèmes et services très au sérieux. Nous apprécions les efforts de la communauté de la recherche en sécurité pour nous aider à maintenir les normes de sécurité les plus élevées. Cette politique décrit les lignes directrices pour les chercheurs en sécurité lors de la recherche ou du signalement de vulnérabilités.

Périmètre

Inclus dans le périmètre

Les systèmes et services suivants sont inclus dans notre programme de recherche en sécurité :

Site web principal et applications web : https://subnoto.com et tous les sous-domaines

Points de terminaison API : Tous les points d'accès API accessibles publiquement

Infrastructure : Services réseau et infrastructure accessibles publiquement

Intégrations tierces : Problèmes de sécurité dans notre implémentation de services tiers

Hors périmètre

Les domaines suivants sont considérés comme hors périmètre pour notre programme de recherche en sécurité :

Services tiers : Problèmes dans les services tiers que nous utilisons (à signaler directement au fournisseur)

Sécurité physique : Accès physique à nos locaux ou équipements

Ingénierie sociale : Attaques contre nos employés ou utilisateurs

Attaques par déni de service : Tout test pouvant impacter la disponibilité du service

Spam ou injection de contenu : Problèmes de contenu non liés à la sécurité

Problèmes nécessitant un accès physique aux appareils ou comptes des utilisateurs

Lignes directrices pour la divulgation responsable

Ce que nous attendons de vous

À faire :

Fournir des rapports détaillés avec des étapes claires pour reproduire la vulnérabilité

Nous laisser un délai raisonnable pour enquêter et corriger le problème avant toute divulgation publique

Éviter d'accéder, de modifier ou de supprimer les données appartenant à d'autres

Tester uniquement les systèmes que vous possédez ou pour lesquels vous avez une autorisation explicite

Respecter la vie privée des utilisateurs et ne pas accéder ou conserver d'informations personnelles

Signaler les vulnérabilités dès que possible après leur découverte

Utiliser la dernière version des applications lors des tests

À ne pas faire :

Mener des activités susceptibles de nuire à nos systèmes, services ou utilisateurs

Accéder, modifier ou supprimer des données qui ne vous appartiennent pas

Perturber nos services ou dégrader l'expérience utilisateur

Effectuer des tests pouvant impacter d'autres utilisateurs

Partager publiquement des vulnérabilités avant que nous ayons eu le temps d'y remédier

Exiger une compensation ou menacer de divulgation publique comme moyen de pression

Clause de non-poursuite

Nous nous engageons à offrir la clause de non-poursuite suivante aux chercheurs en sécurité qui :

Respectent cette politique de divulgation responsable

Signalent les vulnérabilités de bonne foi

Ne violent aucune loi ni aucun accord

Nos engagements :

Nous n'engagerons pas de poursuites contre les chercheurs agissant de bonne foi

Nous collaborerons avec les chercheurs pour comprendre et résoudre les problèmes de sécurité

Nous reconnaîtrons les chercheurs qui contribuent à améliorer notre sécurité (avec leur accord)

Nous accorderons un délai raisonnable pour l'investigation et la correction

Processus de signalement

Comment signaler une vulnérabilité

Étape 1 : Signalement initial

Envoyez votre signalement initial à notre équipe sécurité par l'un des moyens suivants :

Portail sécurité : https://subnoto.com/.well-known/security.txt

Étape 2 : Informations requises

Veuillez inclure les informations suivantes dans votre signalement :

Résumé : Brève description de la vulnérabilité

Criticité : Votre évaluation de l'impact potentiel

Étapes de reproduction : Instructions détaillées, étape par étape

Preuve de concept : Preuve démontrant la vulnérabilité

Systèmes affectés : URLs, applications ou systèmes concernés

Navigateur/Environnement : Détails techniques sur votre environnement de test

Impact potentiel : Description de ce qu'un attaquant pourrait accomplir

Correction suggérée : Recommandations pour la remédiation (si applicable)

Étape 3 : Notre processus de réponse

Nous répondrons selon le calendrier suivant :

Accusé de réception initial : Sous 2 jours ouvrés

Triage et validation : Sous 5 jours ouvrés

Mises à jour régulières : Tous les 7 jours pendant l'investigation

Délai de résolution : Variable selon la criticité et la complexité

Classification de la criticité

Nous utilisons les niveaux de criticité suivants basés sur le score CVSS v3.1 :

Niveaux de criticité Plage de criticité Examples
Critique 9.0-10.0 Exécution de code à distance sur des systèmes critiques, Compromission totale du système, Exposition massive de données
Élevée 7.0-8.9 Élévation de privilèges au niveau administrateur, Exposition significative de données, Contournement d'authentification sur des systèmes sensibles
Moyenne 4.0-6.9 Élévation de privilèges limitée, Exposition modérée de données, XSS avec impact significatif
Faible 0.1-3.9 Divulgation d'information à faible impact, Problèmes mineurs d'authentification, Vulnérabilités d'injection à faible impact

Lignes directrices de communication

Délais de réponse

Critique/Élevée : Réponse initiale sous 24h, mises à jour tous les 2-3 jours

Moyenne : Réponse initiale sous 48h, mises à jour hebdomadaires

Faible : Réponse initiale sous 5 jours ouvrés, mises à jour bi-hebdomadaires

Divulgation publique

Nous suivons une approche de divulgation coordonnée :

Délai standard : 90 jours à partir du signalement initial

Délai étendu : Peut être négocié pour des problèmes complexes

Divulgation immédiate : Pour les problèmes activement exploités

Divulgation anticipée : Avec l'accord de toutes les parties

Informations de contact

Contacts de l'équipe sécurité

Email principal : [email protected]

PGP Key: serveur OpenPGP

Foire aux questions

Puis-je tester sur les systèmes de production ?

Des tests limités sont autorisés sur les systèmes de production, mais vous ne devez pas impacter la disponibilité du service ni accéder aux données d'autrui.

Que faire si je trouve une vulnérabilité dans un service tiers que vous utilisez ?

Veuillez la signaler directement au fournisseur tiers et nous informer si cela affecte notre implémentation.

Puis-je discuter publiquement de la vulnérabilité avant qu'elle ne soit corrigée ?

Non, veuillez attendre que nous ayons eu le temps d'enquêter et de résoudre le problème.

Que se passe-t-il si je cause accidentellement des dommages lors des tests ?

Contactez-nous immédiatement. Si vous suiviez cette politique de bonne foi, nous travaillerons avec vous pour résoudre la situation.

Comment savoir si mon rapport a été reçu ?

Vous recevrez une confirmation automatique sous 24h, suivie d'un accusé de réception humain dans nos délais de réponse annoncés.

Logo

Signatures électroniques respectueuses de la vie privée, fabriquées en France 🇫🇷

© 2025 Subnoto. Tous droits réservés.