Politique de divulgation des vulnérabilités (VDP)

Nous apprécions la recherche en sécurité et accueillons les signalements de bonne foi. Nous n’acceptons n’acceptons pas les tests d’intrusion externes pour le moment.

Périmètre

• skyalo.com, *.skyalo.com

• Applications mobiles Skyalo (dernières versions publiques)

Hors périmètre : services tiers, DoS/flooding de trafic, force brute, ingénierie sociale, attaques physiques, spam/rapports DMARC, divulgation de version sans impact, clickjacking sans impact démontré, en-têtes de sécurité manquants sans exploitation.

Règles d’engagement

• Agissez de bonne foi et évitez toute atteinte à la vie privée ou dégradation du service.

• N’utilisez que vos propres comptes/données.

• N’accédez pas à des données qui ne vous appartiennent pas et ne les modifiez pas. Si vous accédez involontairement à des données non publiques, arrêtez immédiatement et informez-nous.

• Aucun scan automatisé ayant un impact sur la disponibilité ou la stabilité.

Comment signaler

E-mail [email protected] avec :

• Hôte/endpoint concerné et environnement

• Étapes de reproduction claires

• PoC minimal (requête/réponse HTTP, captures d’écran)

• Évaluation de l’impact et sévérité estimée (CVSS v3.1 de préférence)

• Plage horaire des tests et adresses IP sources

Merci de ne pas inclure de secrets (identifiants, jetons, exports bruts de base de données) dans l’e-mail ; caviardez ou masquez les données sensibles. Si vous avez besoin de chiffrement, contactez-nous et nous mettrons en place une méthode sécurisée.

« Safe Harbor »

Si vous respectez cette politique, nous n’engagerons pas de poursuites et considérerons votre recherche comme autorisée dans le seul but de signaler le problème.

Récompenses & reconnaissance

Nous ne proposons actuellement pas de récompenses financières. Pour les problèmes confirmés et non dupliqués, nous proposons un remerciement public (Hall of Fame) et, sur demande, une lettre de remerciement. Les signalements en double peuvent être clôturés sans reconnaissance supplémentaire ; le crédit revient au premier signalement valide que nous recevons.

Délais & SLA

• Accusé de réception : sous 3 jours ouvrés

• Mise à jour du statut de triage : après examen

• Divulgation coordonnée : merci de ne pas publier de détails tant qu’un correctif n’est pas disponible (jusqu’à 90 jours)

Objectif de correction : Critique : 7 jours ; Élevée : 30 jours ; Moyenne : 90 jours ; Faible : backlog/selon planning.