Security

Programme Bug Bounty

Trouvez des bugs, soyez recompense.

Aidez-nous a ameliorer notre securite et gagnez des recompenses. Nous invitons les chercheurs en securite a tester nos systemes de maniere responsable. Si vous trouvez une vulnerabilite, nous vous paierons pour l'avoir signalee.

Signaler une vulnerabilite
Regles

Regles de base

  • 1Testez avec precaution : ne perturbez pas nos services et n'utilisez pas d'outils d'analyse automatises.
  • 2Utilisez uniquement votre propre compte de test. Ne tentez jamais d'acceder aux comptes d'autres utilisateurs.
  • 3Informez-nous immediatement si vous obtenez un acces aux systemes internes.
  • 4Gardez toute decouverte confidentielle jusqu'a ce que nous ayons resolu le probleme.
  • 5Seule la premiere personne a signaler une vulnerabilite specifique recoit la recompense.
Perimetre

Ce que nous recherchons

Nous recompensons les decouvertes qui representent de vrais risques de securite. Les recompenses plus elevees vont aux problemes plus critiques :

Acces non autorise aux donnees d'autres utilisateurs (la simple confirmation de l'existence d'un compte ne suffit pas).
Contournement des controles de securite de l'API (ex. contournement des limites de debit, contournement de l'authentification).
Vulnerabilites de type cross-site scripting (XSS).
Execution de code a distance sur nos serveurs.
Injection SQL ou autres attaques par injection.
Failles d'authentification ou de gestion de session.

Nous ne recompensons que les vulnerabilites de securite qui pourraient nuire aux utilisateurs ou a leurs donnees, pas les bugs cosmetiques ou les fonctionnalites cassees.

Exclusions

Ce que nous ne payons pas

Attaques par deni de service (DoS/DDoS) ou tentatives de force brute.
Problemes de contenu mixte ou de configuration SSL.
Attaques d'ingenierie sociale ou de phishing.
Vulnerabilites theoriques sans preuve de concept fonctionnelle.
En-tetes de securite manquants ou parametres de durcissement standard (ex. politique de mot de passe, verification d'email).
Vulnerabilites dans des services tiers ou des dependances hors de notre controle.
Recompenses

Comment nous payons

Plus la vulnerabilite est critique, plus la recompense est elevee. Il n'y a pas de plafond fixe. Si vous trouvez quelque chose de particulierement serieux ou ingenieux, nous vous indemniserons en consequence. Les montants des recompenses sont determines en fonction de l'impact potentiel de la vulnerabilite.

Les paiements sont traites en USD via PayPal apres que la vulnerabilite a ete verifiee et resolue. Les frais PayPal standard s'appliquent.

Signalement

Comment signaler

01

Soumettre

Remplissez le formulaire de signalement de vulnerabilite ci-dessous avec une description detaillee et une preuve de concept.

02

Examen

Notre equipe de securite examinera votre signalement et repondra dans les 7 jours ouvrables.

03

Resolution

Nous travaillons sur un correctif. Nous pourrions vous contacter pour des details ou clarifications supplementaires.

04

Recompense

Une fois la vulnerabilite verifiee et resolue, nous traitons votre recompense en USD via PayPal.

Signalement

Signaler une vulnerabilite

Remplissez le formulaire ci-dessous avec autant de details que possible. Incluez les etapes de reproduction, l'evaluation de l'impact et toute preuve de concept.