Divulgation Responsable
Cadre de test, Engagement Safe Harbor et signalement de vulnérabilités.
La sécurité par l'obscurité est une illusion. ITYLOS encourage la communauté des chercheurs en cybersécurité à analyser notre plateforme. Cette politique exprime notre intention de traiter de bonne foi les travaux de recherche conformes à ce cadre, et d'offrir un "Safe Harbor" en l'échange d'une divulgation responsable.
🤝 Engagement Safe Harbor
ITYLOS n'a pas l'intention d'engager de poursuites judiciaires à l'encontre des chercheurs en sécurité agissant de bonne foi, respectant strictement le périmètre défini sur cette page, et nous accordant un délai de remédiation raisonnable.
Note légale : Ce cadre ne crée pas de renonciation générale ou illimitée à nos recours en cas de comportement malveillant avéré, d'atteinte à des tiers, d'exfiltration de données, ou d'action hors périmètre.
Règles de conduite attendues
- Bonne foi Cherchez à sécuriser le service de manière constructive, et non à l'exploiter ou l'extorquer.
- Respect de la vie privée N'interagissez jamais avec les données de tiers. Vous devez utiliser uniquement vos propres capsules/comptes de test.
- Pas de perturbation de service N'interrompez pas le service, n'automatisez pas de scanners agressifs, n'effectuez pas de charge volontaire (DDoS).
- Embargo raisonnable Accordez-nous un délai raisonnable pour corriger la vulnérabilité avant d'en faire une publication ou un CVE.
🎯 Périmètre autorisé (Scope)
Concentrez vos efforts exclusivement sur les cibles et méthodes définies ci-dessous. Tout ce qui n'est pas listé ici est considéré comme hors périmètre.
Cibles techniques (In-Scope)
-
Application Web (Frontend)
*.itylos.com— Contournement du chiffrement local, XSS, CSP bypass, failles logiques de création. - API & Backend Bypass de la destruction unique, contournement des limites, Injections SQL/NoSQL.
- Cryptographie Faiblesses dans l'implémentation de la Forge (WebCrypto API), usage d'AES-256-GCM ou signatures Ed25519.
Méthodes autorisées
- Tests manuels non destructifs
- Utilisation de vos propres capsules
- Preuve de concept (PoC) minimale
- Lecture seule quand possible
Interdit même en bonne foi
- Brute force ou Attaques DDoS
- Exfiltration de données applicatives
- Social Engineering (Phishing)
- Maintien d'un accès persistant post-exploitation
📧 Processus de Signalement
Pour garantir un traitement efficace de votre signalement, votre rapport (Rapport de Bug / Vulnerability Report) doit contenir les éléments suivants :
Format du rapport attendu
- Titre : Résumé explicite de la vulnérabilité.
- Criticité : Votre estimation de l'impact (Low, Medium, High, Critical).
- Reproduction : Étapes exactes, étape par étape (PoC), pour reproduire le comportement.
- Impact : Conséquences réelles démontrables sur le produit ou l'infrastructure.
Contact Sécurité
Envoyez votre rapport directement par email.
Objet recommandé : [SECURITY] Résumé du problème
Pour des demandes générales non liées à une vulnérabilité, merci d'utiliser la page de contact classique.
Note concernant les récompenses (Bug Bounty) : Aucun programme de rémunération public n'est actuellement en place. Des remerciements (Hall of Fame) peuvent être accordés au cas par cas.
📜 Le standard security.txt
Conformément aux bonnes pratiques de l'industrie (RFC 9116), ITYLOS maintient un fichier security.txt à la racine de son infrastructure. Ce fichier lisible par les machines permet aux auditeurs de vérifier l'authenticité de nos politiques.
Policy: https://itylos.com/security-policy
Preferred-Languages: fr, en
Canonical: https://itylos.com/.well-known/security.txt
Chemin public : https://itylos.com/.well-known/security.txt