politique-de-sécurité
Politique de Divulgation des Vulnérabilités
Je prends la sécurité de mon site
Si vous pensez avoir découvert une vulnérabilité de sécurité sur mon site, je vous encourage à me la signaler rapidement.
Périmètre
Cette politique s’applique uniquement aux domaines suivants :
et
https://webmaster-alsace.fr
Tout autre domaine ou sous-domaine, y compris les sites appartenant à mes clients,
est strictement hors périmètre.
Comment signaler une vulnérabilité
Veuillez envoyer votre rapport de vulnérabilité par e-mail à :
Je vous encourage fortement à chiffrer votre communication en utilisant
ma clé PGP publique, disponible ici :
Dans votre rapport, veuillez inclure autant de détails que possible :
Une description claire de la vulnérabilité.
L’URL ou l’emplacement où la vulnérabilité a été découverte.
Les étapes détaillées pour reproduire la vulnérabilité (captures d’écran, vidéos ou scripts de preuve de concept sont les bienvenus).
Votre estimation de l’impact potentiel de cette faille.
Mes engagements (Safe Harbor)
En retour, je m’engage à :
Accuser réception de votre rapport dans un délai de 5 jours ouvrés.
Ne pas engager de poursuites judiciaires contre vous, à condition que vous respectiez les règles de cette politique (« Règles du jeu »).
Garder votre rapport confidentiel et ne le partager qu’avec les personnes nécessaires à la résolution du problème.
Vous tenir informé de l’avancement de la correction.
Règles du jeu
Pour être éligible au « Safe Harbor » (non-poursuite), vous devez impérativement :
Ne pas causer de dommages au site, à ses données ou à ses utilisateurs.
Ne pas accéder, modifier, télécharger ou supprimer des données qui ne vous appartiennent pas.
Ne pas effectuer d’attaques par déni de service (DoS ou DDoS), de spam ou d’ingénierie sociale (phishing).
Ne pas divulguer publiquement la vulnérabilité avant que je n’aie eu un délai raisonnable (généralement 90 jours) pour la corriger.
Mener vos recherches de bonne foi et dans le seul but de contribuer à la sécurité.
Exclusions (Ce qu’il ne faut pas signaler)
Les rapports suivants ne sont généralement pas considérés comme des vulnérabilités et seront classés comme hors périmètre :
Résultats de scanners automatisés sans preuve de concept (PoC) exploitable.
Attaques par déni de service (DoS / DDoS).
Absence de bonnes pratiques de configuration (ex: en-têtes de sécurité manquants, configuration SPF/DKIM/DMARC)
sans impact de sécurité démontré.
Divulgation de versions de logiciels (ex: version de WordPress, PHP) sans faille exploitable associée.
Problèmes de « clickjacking » sur des pages sans actions sensibles.
Remerciements
Je n’offre pas de « Bug Bounty » (récompense financière) pour le moment.
Cependant, pour les rapports pertinents et conformes à cette politique,
je serai heureux de vous remercier publiquement sur cette page (avec votre accord),
si vous le souhaitez.
Merci de m’aider à garder
webmaster67.fr très au sérieux. J’apprécie l’aide de la communauté des chercheurs en sécurité pour m’aider à maintenir ce site sécurisé.Si vous pensez avoir découvert une vulnérabilité de sécurité sur mon site, je vous encourage à me la signaler rapidement.
Périmètre
Cette politique s’applique uniquement aux domaines suivants :
https://webmaster67.fret
https://webmaster-alsace.fr
Tout autre domaine ou sous-domaine, y compris les sites appartenant à mes clients,
est strictement hors périmètre.
Comment signaler une vulnérabilité
Veuillez envoyer votre rapport de vulnérabilité par e-mail à :
security@webmaster67.frJe vous encourage fortement à chiffrer votre communication en utilisant
ma clé PGP publique, disponible ici :
[LIEN VERS VOTRE CLÉ PGP - Par exemple : https://keys.openpgp.org/vks/v1/by-fingerprint/5E5DD5603523EA11983A55E4EFC2F3DD8A61FDDF]Dans votre rapport, veuillez inclure autant de détails que possible :
Une description claire de la vulnérabilité.
L’URL ou l’emplacement où la vulnérabilité a été découverte.
Les étapes détaillées pour reproduire la vulnérabilité (captures d’écran, vidéos ou scripts de preuve de concept sont les bienvenus).
Votre estimation de l’impact potentiel de cette faille.
Mes engagements (Safe Harbor)
En retour, je m’engage à :
Accuser réception de votre rapport dans un délai de 5 jours ouvrés.
Ne pas engager de poursuites judiciaires contre vous, à condition que vous respectiez les règles de cette politique (« Règles du jeu »).
Garder votre rapport confidentiel et ne le partager qu’avec les personnes nécessaires à la résolution du problème.
Vous tenir informé de l’avancement de la correction.
Règles du jeu
Pour être éligible au « Safe Harbor » (non-poursuite), vous devez impérativement :
Ne pas causer de dommages au site, à ses données ou à ses utilisateurs.
Ne pas accéder, modifier, télécharger ou supprimer des données qui ne vous appartiennent pas.
Ne pas effectuer d’attaques par déni de service (DoS ou DDoS), de spam ou d’ingénierie sociale (phishing).
Ne pas divulguer publiquement la vulnérabilité avant que je n’aie eu un délai raisonnable (généralement 90 jours) pour la corriger.
Mener vos recherches de bonne foi et dans le seul but de contribuer à la sécurité.
Exclusions (Ce qu’il ne faut pas signaler)
Les rapports suivants ne sont généralement pas considérés comme des vulnérabilités et seront classés comme hors périmètre :
Résultats de scanners automatisés sans preuve de concept (PoC) exploitable.
Attaques par déni de service (DoS / DDoS).
Absence de bonnes pratiques de configuration (ex: en-têtes de sécurité manquants, configuration SPF/DKIM/DMARC)
sans impact de sécurité démontré.
Divulgation de versions de logiciels (ex: version de WordPress, PHP) sans faille exploitable associée.
Problèmes de « clickjacking » sur des pages sans actions sensibles.
Remerciements
Je n’offre pas de « Bug Bounty » (récompense financière) pour le moment.
Cependant, pour les rapports pertinents et conformes à cette politique,
je serai heureux de vous remercier publiquement sur cette page (avec votre accord),
si vous le souhaitez.
Merci de m’aider à garder
webmaster67.fr sécurisé.
