🔒 Politique de Divulgation Responsable des Vulnérabilités
VSA encourage la divulgation responsable des vulnérabilités de sécurité. Nous nous engageons à traiter tous les rapports de sécurité de manière professionnelle et transparente.
📧 Contact de Sécurité
📋 Types de Vulnérabilités Recherchées
🔴 Priorité Critique
- Exécution de code à distance (RCE)
- Injection SQL permettant l'accès aux données
- Authentification contournée
- Escalade de privilèges
- Accès non autorisé aux données utilisateurs
🟠 Priorité Élevée
- Cross-Site Scripting (XSS) stocké
- Cross-Site Request Forgery (CSRF) sur fonctions critiques
- Inclusion de fichiers locaux/distants (LFI/RFI)
- Exposition de données sensibles
- Bypass de contrôles d'accès
🟡 Priorité Modérée
- XSS réfléchi
- Divulgation d'informations techniques
- Problèmes de configuration de sécurité
- Bypass de limitations de taux
- Headers de sécurité manquants
📝 Format de Rapport
Pour un traitement efficace, votre rapport doit inclure :
- Résumé : Description courte et claire de la vulnérabilité
- Impact : Conséquences potentielles de l'exploitation
- Étapes de reproduction : Instructions détaillées étape par étape
- Preuve de concept : Captures d'écran, logs, ou code démonstratif
- Recommandations : Suggestions de correction si disponibles
- Environnement : Navigateur, OS, outils utilisés
📧 Utilisation du Chiffrement
Fortement recommandé pour les vulnérabilités critiques :
- Téléchargez notre clé PGP :
curl https://vsa.fr/.well-known/pgp-key.txt
- Importez la clé :
gpg --import vsa-pgp-key.txt
- Chiffrez votre rapport :
gpg --armor --encrypt --recipient security@vsa.fr rapport.txt
- Envoyez le fichier chiffré par email
⏱️ Processus de Traitement
🚀 Délais de Réponse
- Accusé de réception : Dans les 24 heures
- Première évaluation : Dans les 72 heures
- Mise à jour régulière : Toutes les 2 semaines
- Résolution : Selon la criticité (voir ci-dessous)
🕐 Délais de Résolution Cibles
- Critique : 7 jours ouvrés
- Élevée : 30 jours ouvrés
- Modérée : 90 jours ouvrés
- Faible : 180 jours ouvrés
🏆 Programme de Reconnaissance
Nous reconnaissons les contributions des chercheurs de sécurité de plusieurs façons :
- Hall of Fame : Mention publique sur notre page de remerciements
- Certificat de reconnaissance : Document officiel de remerciement
- Référence professionnelle : Lettre de recommandation (sur demande)
Note : VSA ne propose actuellement pas de bug bounty monétaire, mais nous évaluons cette possibilité pour l'avenir.
⚖️ Directives Légales
🤝 Protection du Chercheur
VSA s'engage à ne pas poursuivre légalement les chercheurs qui :
- Respectent cette politique de divulgation
- Ne tentent pas d'accéder, modifier ou supprimer des données
- Ne perturbent pas nos services ou ceux de nos utilisateurs
- Ne divulguent pas publiquement la vulnérabilité avant correction
- Rapportent la vulnérabilité uniquement à VSA
🚫 Activités Interdites
- Tests sur des comptes qui ne vous appartiennent pas
- Extraction de données personnelles ou confidentielles
- Modification ou suppression de données
- Tests de charge ou déni de service
- Ingénierie sociale ou phishing
- Tests destructifs ou invasifs
📅 Divulgation Coordonnée
📢 Politique de Publication
- Embargo : Minimum 90 jours après le rapport initial
- Extension possible : Si des circonstances exceptionnelles le justifient
- Publication coordonnée : Après correction et accord mutuel
- Crédit : Attribution publique du découvreur (sauf demande contraire)
📞 Contact et Support
❓ Questions sur cette Politique
Pour toute question concernant cette politique de divulgation, contactez-nous à security@vsa.fr
Politique de Divulgation des Vulnérabilités VSA
Version 1.0 - Dernière mise à jour : 27 juin 2025
Cette politique peut être modifiée sans préavis. Consultez régulièrement cette page.