Sécurité

Programme Bug Bounty. Trouvez des failles, soyez récompensé.

Aidez-nous à améliorer notre sécurité et gagnez des récompenses. Nous invitons les chercheurs en sécurité à tester nos systèmes de manière responsable. Si vous trouvez une vulnérabilité, nous vous paierons pour l'avoir signalée.

Signaler une vulnérabilité

Règles

Règles de base

  • Testez avec précaution : ne perturbez pas nos services et n'utilisez pas d'outils de scan automatisés.
  • Utilisez uniquement votre propre compte de test. Ne tentez jamais d'accéder aux comptes d'autres utilisateurs.
  • Prévenez-nous immédiatement si vous obtenez un accès à nos systèmes internes.
  • Gardez vos découvertes confidentielles jusqu'à ce que nous ayons résolu le problème.
  • Seule la première personne à signaler une vulnérabilité spécifique reçoit la récompense.

Périmètre

Ce que nous recherchons

Nous récompensons les découvertes qui représentent de vrais risques de sécurité. Les récompenses sont plus élevées pour les problèmes critiques :

  • Accès non autorisé aux données d'autres utilisateurs (la simple confirmation de l'existence d'un compte ne compte pas).
  • Contournement des contrôles de sécurité API (ex : contournement de rate-limit, bypass d'authentification).
  • Vulnérabilités Cross-site scripting (XSS).
  • Exécution de code à distance sur nos serveurs.
  • Injection SQL ou autres attaques par injection.
  • Failles d'authentification ou de gestion de session.

Nous ne récompensons que les vulnérabilités de sécurité pouvant nuire aux utilisateurs ou à leurs données, pas les bugs cosmétiques ou les fonctionnalités cassées.

Exclusions

Ce que nous ne payons pas

  • Attaques par déni de service (DoS/DDoS) ou tentatives de force brute.
  • Problèmes de contenu mixte ou de configuration SSL.
  • Ingénierie sociale ou attaques de phishing.
  • Vulnérabilités théoriques sans preuve de concept fonctionnelle.
  • En-têtes de sécurité manquants ou paramètres de durcissement standard (ex : politique de mot de passe, vérification d'email).
  • Vulnérabilités dans des services tiers ou des dépendances hors de notre contrôle.

Récompenses

Comment nous payons

Plus la vulnérabilité est critique, plus la récompense est élevée. Il n'y a pas de plafond fixe. Si vous trouvez quelque chose de particulièrement sérieux ou astucieux, nous vous récompenserons en conséquence. Les montants sont déterminés en fonction de l'impact potentiel de la vulnérabilité.

Les paiements sont effectués en USD via PayPal après vérification et résolution de la vulnérabilité. Les frais PayPal standard s'appliquent.

Signaler

Comment signaler

01

Soumettez

Remplissez le formulaire de signalement ci-dessous avec une description détaillée et une preuve de concept.

02

Examen

Notre équipe sécurité examinera votre rapport et répondra sous 7 jours ouvrés.

03

Résolution

Nous travaillons sur un correctif. Nous pourrons vous contacter pour des détails supplémentaires.

04

Récompense

Une fois la vulnérabilité vérifiée et résolue, nous traitons votre récompense en USD via PayPal.

Signaler une vulnérabilité

Remplissez le formulaire ci-dessous avec autant de détails que possible. Incluez les étapes de reproduction, l'évaluation de l'impact et toute preuve de concept.