Politique de divulgation responsable

Comment signaler les vulnérabilités de sécurité à RocketShare

Nous prenons très au sérieux la sécurité de RocketShare et les données de nos utilisateurs. Si vous découvrez une vulnérabilité de sécurité, nous apprécions votre aide pour nous la divulguer de manière responsable.

Périmètre

Les éléments suivants entrent dans le cadre de cette politique :

  • rocketshare.app — l'application web principale
  • Points d'API sous rocketshare.app
  • L'implémentation du chiffrement côté client
  • L'authentification et la gestion des sessions
  • Le contrôle d'accès et la logique d'autorisation

Comment signaler

Soumettez vos découvertes via notre formulaire de contact avec l'objet « Signalement de vulnérabilité de sécurité ». Veuillez inclure :

  • Une description claire de la vulnérabilité
  • Les étapes pour reproduire le problème
  • L'impact potentiel selon votre compréhension
  • Tout code de preuve de concept ou captures d'écran (le cas échéant)
  • Vos coordonnées pour les questions de suivi

Ce que nous demandons

  • Ne divulguez pas publiquement la vulnérabilité avant que nous ayons eu une opportunité raisonnable de la corriger
  • N'accédez pas, ne modifiez pas et ne supprimez pas les données d'autres utilisateurs pendant vos recherches
  • N'effectuez pas d'attaques par déni de service ni de tests qui dégradent le service pour les autres utilisateurs
  • N'utilisez pas d'outils de scan automatisés à grande échelle contre les systèmes de production — testez manuellement ou utilisez un compte de test personnel
  • Agissez de bonne foi — faites un effort sincère pour éviter les violations de la vie privée et les perturbations

Ce que nous promettons

  • Accusé de réception sous 48 heures — nous confirmerons la réception de votre rapport dans les 2 jours ouvrables
  • Mises à jour régulières — nous vous tiendrons informé de notre progression pendant l'enquête et la correction du problème
  • Délai de correction raisonnable — nous visons à résoudre les vulnérabilités confirmées dans les 90 jours, selon la complexité
  • Crédit — avec votre permission, nous vous créditerons en tant que rapporteur lorsque nous divulguerons la correction
  • Aucune action légale — nous n'engagerons pas de poursuites judiciaires contre les chercheurs qui suivent cette politique de bonne foi

Pas de récompenses financières

À l'heure actuelle, nous n'offrons pas de récompenses financières (bug bounties) pour les signalements de vulnérabilités. Nous offrons une reconnaissance publique et notre sincère gratitude pour aider à maintenir RocketShare sécurisé.

Hors périmètre

Les éléments suivants ne sont pas considérés comme des vulnérabilités dans le cadre de cette politique :

  • Ingénierie sociale — attaques de phishing ou de prétexte contre notre équipe ou nos utilisateurs
  • Déni de service (DoS/DDoS) — attaques volumétriques ou épuisement des ressources
  • Services tiers — vulnérabilités dans les services que nous utilisons mais ne contrôlons pas (par ex., Cloudflare, processeurs de paiement)
  • Self-XSS — problèmes nécessitant que la victime colle du code dans la console de son navigateur
  • En-têtes de sécurité manquants sur des pages non sensibles — sauf s'ils mènent à un exploit démontrable
  • Limitation de débit — absence de limitation de débit sur des points d'API non critiques
  • Divulgation de version logicielle — informations de version du serveur ou du framework dans les en-têtes ou réponses
  • Usurpation de contenu — sans impact de sécurité démontré

Cette politique est en vigueur depuis février 2026. Pour toute question concernant cette politique, contactez-nous.