Programme communauté sécurité
Divulgation responsable
La sécurité est un travail collectif. Nous accueillons et récompensons les chercheurs qui nous aident à protéger nos utilisateurs.
Notre engagement
Si vous découvrez une vulnérabilité dans nos services et que vous nous la signalez de manière responsable, nous nous engageons à :
- Vous répondre sous 72 heures pour accuser réception
- Vous tenir informé de la progression du correctif
- Ne pas engager de poursuites judiciaires si votre recherche respecte les règles ci-dessous
- Vous reconnaître publiquement dans notre Hall of Fame si vous le souhaitez
- Vous récompenser financièrement selon la criticité (CVSS) de la vulnérabilité
Périmètre
Domaines inclus :
lesexcellences.com(frontend public)api.lesexcellences.com(API publique)- Sous-domaines de production exposés publiquement
Hors périmètre (non éligibles à récompense) :
- Attaques par déni de service (DoS / DDoS)
- Vulnérabilités sur des bibliothèques tierces déjà publiées (CVE connus) sans preuve d'exploitation chez nous
- Ingénierie sociale d'employés ou de clients
- Auto-XSS sans vecteur d'attaque réaliste
- Bypasses de captcha ou rate-limit sans démonstration d'impact métier
demo.lesexcellences.com(sandbox publique avec données fictives)
Règles d'engagement
- Ne pas accéder, modifier ou détruire les données d'autres utilisateurs
- Ne pas dégrader le service ni provoquer d'indisponibilité
- Ne pas divulguer publiquement la vulnérabilité avant correction (sous 90 jours maximum)
- Utiliser uniquement vos propres comptes de test
- Pas de tests automatisés massifs (scanners agressifs, fuzzing volumétrique)
- Stop dès qu'une vulnérabilité est confirmée — un PoC suffit
Comment signaler
Envoyez-nous un email à security@lesexcellences.com en suivant idéalement ce format :
Sujet : [Disclosure] Brève description Périmètre : URL/endpoint, domaine, date Description : - Comportement observé - Comportement attendu - Impact estimé (CVSS si possible) Reproduction : 1. Étape 1 2. Étape 2 3. Étape 3 Preuve : capture/vidéo (URL non publique) Contact : email + pseudo Hall of Fame
Récompenses
Notre programme est jeune et notre budget est encore modeste. L'échelle ci-dessous évoluera à la hausse à mesure que nous grandissons.
| Criticité (CVSS) | Récompense | Exemples |
|---|---|---|
| Critique (9.0-10.0) | 300 - 500 € | RCE, SQLi, escalade admin |
| Haute (7.0-8.9) | 150 - 300 € | Auth bypass, IDOR, XSS persistant |
| Moyenne (4.0-6.9) | 50 - 150 € | XSS reflected, CSRF impactant |
| Basse (0.1-3.9) | 25 - 50 € + Hall of Fame | Fuite mineure, config sub-optimale |
| Informative | Hall of Fame uniquement | Bonnes pratiques sans impact direct |
Modes de paiement : virement SEPA ou don à une association de cybersécurité de votre choix. Seul le premier rapport reçu d'une vulnérabilité unique est éligible à récompense.
Hall of Fame
Nous reconnaissons publiquement les chercheurs qui contribuent à notre sécurité, sauf demande de confidentialité explicite.
Liste à compléter au fur et à mesure des soumissions.
Engagement légal
Tant que vous respectez ce programme, nous n'engagerons aucune poursuite judiciaire à votre encontre au titre de la recherche, ni au titre de l'article 323-1 et suivants du Code pénal français. Nous traiterons votre rapport en confidentialité absolue jusqu'à correction et accord public commun.