Politique de divulgation responsable
La sécurité de nos systèmes et la protection des données de nos utilisateurs sont au cœur des priorités de Sekure. Cette politique définit notre approche concernant la découverte et le signalement des vulnérabilités de sécurité.
Dernière mise à jour : 30 Avril 2025
Sommaire
Chez Sekure Technologies Limited, nous considérons la sécurité comme un pilier fondamental de notre activité. En tant que plateforme financière innovante, nous avons la responsabilité de protéger les données et les actifs de nos utilisateurs avec les plus hauts standards de sécurité.
Cette politique de divulgation responsable des vulnérabilités (également connue sous le nom de politique de piratage éthique) définit notre engagement à collaborer avec la communauté de la sécurité informatique pour identifier et résoudre les vulnérabilités potentielles avant qu'elles ne puissent être exploitées de manière malveillante.
Nous encourageons les chercheurs en sécurité, les utilisateurs et toutes les parties concernées à nous signaler de manière responsable toute vulnérabilité découverte dans nos systèmes, conformément aux règles établies dans cette politique.
Cette politique s'applique à l'ensemble des systèmes, applications et services de Sekure, incluant mais sans s'y limiter :
- Notre site web principal (www.getsekure.com)
- Nos applications mobiles (iOS et Android)
- Nos API et services web
- Nos systèmes de traitement des paiements
- Nos interfaces d'administration
Important
Les systèmes d'infrastructure de tiers que nous utilisons, mais qui ne sont pas directement sous notre contrôle, sont exclus du champ d'application de cette politique.
Pour garantir une collaboration sécurisée et légale, nous demandons à tous les chercheurs et participants de respecter les règles suivantes lors de tests de sécurité sur nos systèmes :
- Divulgation responsable : Signaler les vulnérabilités découvertes directement à notre équipe de sécurité et nous donner un délai raisonnable pour les analyser et y remédier avant toute divulgation publique.
- Respect des données : Ne pas accéder, modifier, supprimer ou stocker les données des utilisateurs. Si une vulnérabilité permet un tel accès, limitez votre démonstration au minimum nécessaire pour prouver la faille.
- Tests non destructifs : Éviter toute action qui pourrait dégrader la qualité de nos services, tels que les attaques par déni de service, le spam, ou l'exploitation de vulnérabilités affectant d'autres utilisateurs.
- Tests sur comptes de test : Utiliser uniquement vos propres comptes ou des comptes de test pour vos recherches. N'essayez jamais d'accéder aux comptes d'autres utilisateurs sans autorisation explicite.
- Légalité : Respecter toutes les lois applicables et ne pas utiliser de techniques ou d'outils illégaux.
Nous nous engageons à ne pas engager de poursuites judiciaires contre les personnes qui respectent ces règles et qui agissent de bonne foi dans le cadre de cette politique.
Nous sommes particulièrement intéressés par les types de vulnérabilités suivants :
Vulnérabilités critiques
- Injections SQL
- Exécution de code à distance (RCE)
- Authentification contournée
- Élévation de privilèges
- Divulgation d'informations sensibles
Vulnérabilités importantes
- Cross-Site Scripting (XSS)
- Cross-Site Request Forgery (CSRF)
- Mauvaise configuration de sécurité
- Logique métier défaillante
- Fuites d'informations API
Les problèmes suivants, bien qu'importants, ne sont généralement pas considérés comme éligibles à des récompenses dans le cadre de notre programme :
- En-têtes de sécurité HTTP manquants sans impact direct
- Rapports basés uniquement sur des scanners automatisés sans preuve d'exploitation
- Attaques nécessitant un accès physique à l'appareil de l'utilisateur
- Problèmes liés au clickjacking sans impact démontrable
- Rapports de vulnérabilités déjà connues ou signalées
Pour signaler une vulnérabilité de manière responsable, veuillez suivre ces étapes :
- Envoyez un rapport détaillé à security@getsekure.com avec l'objet "Divulgation de vulnérabilité - [Type de vulnérabilité]"
- Fournissez les informations suivantes dans votre rapport :
- Description claire et concise de la vulnérabilité
- Étapes détaillées pour reproduire le problème
- Impact potentiel de la vulnérabilité
- Captures d'écran, vidéos ou preuves démontrant l'existence de la faille (si possible)
- Suggestions pour corriger la vulnérabilité (facultatif)
- Notre équipe de sécurité vous enverra un accusé de réception de votre rapport dans un délai de 48 heures
- Nous vous tiendrons informé de l'avancement de notre enquête et des mesures correctives prises
Chiffrement PGP
Pour une communication sécurisée, nous encourageons l'utilisation du chiffrement PGP. Notre clé publique est disponible sur notre site web.
Sekure s'engage à prendre les mesures suivantes envers les chercheurs en sécurité qui respectent cette politique de divulgation responsable :
- Protection légale : Nous nous engageons à ne pas engager de poursuites judiciaires ou administratives contre les personnes qui respectent cette politique lors de leurs recherches de sécurité.
- Confidentialité : Nous protégerons votre identité et les informations que vous nous communiquez, sauf accord contraire ou obligation légale.
- Transparence : Nous vous tiendrons informé de l'avancement de nos efforts pour résoudre les vulnérabilités que vous avez signalées.
- Délai raisonnable : Nous nous efforcerons de résoudre les vulnérabilités signalées dans un délai raisonnable, en fonction de leur gravité et de leur complexité.
Ces protections ne s'appliquent que si vous respectez pleinement les règles d'engagement définies dans cette politique.
Nous valorisons le temps et l'expertise des chercheurs en sécurité qui contribuent à renforcer la sécurité de nos systèmes. C'est pourquoi nous proposons un programme de récompenses (bug bounty) pour les vulnérabilités éligibles, en fonction de leur impact et de leur gravité.
| Niveau de gravité | Critères | Récompense |
|---|---|---|
| Critique | Accès complet au système, compromission des données sensibles | 500€ - 2000€ |
| Élevé | Accès significatif, exposition de données importantes | 250€ - 500€ |
| Moyen | Accès limité, impact modéré sur la sécurité | 100€ - 250€ |
| Faible | Impact minimal, risque limité | 50€ - 100€ |
Le montant exact de la récompense est déterminé en fonction de plusieurs facteurs, notamment :
- La gravité et l'impact potentiel de la vulnérabilité
- La qualité et l'exhaustivité du rapport
- La complexité de l'exploitation
- L'originalité de la découverte
- La facilité de correction
Tous les paiements seront effectués après vérification et correction de la vulnérabilité signalée. Sekure se réserve le droit de modifier les montants et les conditions de ce programme à tout moment.
Avec votre permission, nous pouvons publiquement reconnaître votre contribution à la sécurité de nos systèmes. Cette reconnaissance peut prendre plusieurs formes :
- Inclusion dans notre Wall of Fame des chercheurs en sécurité
- Mention dans nos rapports de sécurité
- Lettre de remerciement formelle
- Recommandation professionnelle
Nous respecterons toujours votre choix de rester anonyme si vous le souhaitez.
Pour toute question concernant notre politique de divulgation responsable ou notre programme de bug bounty, vous pouvez nous contacter par les moyens suivants :
security@getsekure.com
+44 736 628 3531
Monomark House 27 Old Gloucester Street LONDON- WC1N 3AX United Kingdom (GB)
