Divulgation responsable
Cette politique s'adresse aux chercheurs en sécurité, aux étudiants, aux professionnels de la cybersécurité et à toute personne qui aurait identifié une vulnérabilité sur MonRhumato.fr. Elle décrit comment nous travaillons ensemble pour corriger une faille avant qu'elle soit exploitée.
🛡️ Safe Harbor — notre engagement
Si vos travaux respectent cette politique :
- ✅ Nous ne déposerons pas de plainte pénale (Code pénal art. 323-1 et s.) à votre encontre.
- ✅ Nous ne porterons pas plainte civile et ne demanderons pas réparation.
- ✅ Nous considérerons que vos travaux sont autorisés au titre de la recherche en sécurité légitime (CSP art. L. 2321-4 issu de la LPM 2018).
- ✅ Nous coopérerons avec les autorités si elles vous contactent suite à votre signalement.
Cet engagement vaut tant que vous suivez les principes : absence d'exfiltration de données autres que les vôtres, absence de modification ou destruction, signalement immédiat sans publication préalable.
Procédure en 6 étapes
- 1
Vous identifiez une faille
Vulnérabilité technique potentielle (XSS, SQLi, IDOR, RCE, escalade de privilèges, désérialisation, broken auth, défaut de configuration, fuite d'info…). Si elle concerne le périmètre publié ci-dessous, on est preneur.
- 2
Vous nous écrivez
Email à security@monrhumato.fr (ou dpo@monrhumato.fr). Décrivez la faille, joignez un proof-of-concept reproductible (capture, requête, payload), précisez votre identité ou pseudonyme.
- 3
Nous accusons réception
Sous 72 h ouvrées, un humain vous répond — ce n'est pas une boîte automatique. Si pas de réponse, relancer (les filtres anti-spam font parfois des dégâts).
- 4
Triage technique
Sous 7 jours, évaluation : reproductibilité, sévérité (CVSS 3.1), périmètre. Si confirmé, attribution d'un identifiant interne et calendrier de patch.
- 5
Patch et atténuation
Selon CVSS : critique 30 j max, élevée 60 j, moyenne 90 j, faible 180 j. Si nécessaire, atténuation immédiate (mise hors-ligne ciblée, rotation secrets) en attendant le fix définitif.
- 6
Crédit public
Avec votre accord, mention dans le Hall of Fame avec votre nom/pseudo, date, sévérité (sans détails exploitables). Lettre de remerciement signée. Pas de bug bounty monétaire à ce jour.
Périmètre
✅ Dans le scope
- • *.monrhumato.fr (production Vercel — www, sous-domaines actifs en prod uniquement)
- • APIs publiques /api/* hors auth Supabase
- • Configuration .well-known/* (security.txt, oauth, manifest, MCP, agent-skills)
- • Service Worker /sw-push.js et /sw-jeu-offline.js
- • Headers de sécurité, CSP, CORS
❌ Hors scope
- • Phishing / social engineering ciblant les médecins inscrits
- • DoS / DDoS / stress tests / attaques par déni de service
- • Spam ou abus du formulaire de contact
- • APIs tierces référencées (PubMed NCBI, ClinicalTrials.gov, ANS FHIR, OpenAlex, HAL, etc.)
- • Sous-traitants externes (Vercel, Supabase, Groq, Gemini, YouTube) — adresser à eux directement
- • Tests automatisés intrusifs (scan de vulnérabilités lourd, fuzzing à haute fréquence)
- • Vulnérabilités déjà connues et publiquement listées
- • Versions de preview Vercel (URLs *.vercel.app) — uniquement la prod sur www.monrhumato.fr
Engagements de délai (SLA)
| Étape | Délai max |
|---|---|
| Accusé de réception | 72 h ouvrées |
| Triage et confirmation | 7 jours |
| Patch — critique (CVSS 9-10) | 30 jours |
| Patch — élevée (CVSS 7-8.9) | 60 jours |
| Patch — moyenne (CVSS 4-6.9) | 90 jours |
| Patch — faible (CVSS < 4) | 180 jours |
Délais à compter de la confirmation de la vulnérabilité. Une atténuation immédiate est mise en place dès l'identification si nécessaire (mise hors-ligne ciblée, rotation des secrets, blocage IP, etc.).
Récompenses
MonRhumato.fr ne propose pas encore de bug bounty monétaire. Pour les chercheurs qui acceptent d'être crédités :
- 🏆 Mention au Hall of Fame avec votre nom/pseudo, date, sévérité.
- ✉️ Lettre de remerciement signée par le fondateur, utilisable comme référence professionnelle.
- 📜 Lien vers votre profil (LinkedIn, Twitter, GitHub, blog perso) si souhaité.
Quand le volume de signalements et les ressources le permettront, un bug bounty monétaire sera ouvert via YesWeHack ou HackerOne. Annonce publique préalable.
Voir aussi : security.txt · posture sécurité · hall of fame · procédure incident RGPD