Politique de Divulgation des Vulnérabilités

Dernière mise à jour : 2024-12-19

1. Objectif de la politique

Chez Whispie, nous nous engageons à maintenir le plus haut niveau de sécurité pour nos utilisateurs. Cette politique fournit des lignes directrices aux chercheurs en sécurité pour divulguer de manière responsable les vulnérabilités découvertes dans les systèmes Whispie et les intégrations tierces (Stripe, Supabase, Facebook, Google Analytics, Twilio, etc.).

Nous croyons que la collaboration avec les chercheurs en sécurité du monde entier est essentielle pour assurer la sécurité de nos utilisateurs. Nous vous encourageons à nous contacter pour signaler toute vulnérabilité potentielle que vous découvrez.

2. Périmètre

✅ Systèmes dans le périmètre

  • whispieapp.com et tous les sous-domaines
  • Applications mobiles Whispie (iOS et Android)
  • Tous les points de terminaison API et services
  • Intégrations et services tiers :
    • Systèmes de paiement Stripe
    • Base de données et authentification Supabase
    • Vérification SMS Twilio
    • Intégrations publicitaires Facebook/Meta
    • Implémentation Google Analytics
    • Services de sécurité Cloudflare

❌ Hors périmètre

  • Évaluations de sécurité physique
  • Attaques d'ingénierie sociale
  • Attaques DDoS ou tests volumétriques
  • Attaques contre les employés ou l'infrastructure de Whispie
  • Services tiers non directement intégrés à Whispie
  • Vulnérabilités théoriques sans preuve de concept
  • En-têtes de sécurité manquants sans impact démontré

3. Règles de divulgation responsable

✅ Ce qu'il faut faire

  • Nous notifier immédiatement après avoir découvert une vulnérabilité potentielle
  • Utiliser le minimum de données sensibles nécessaires pour démontrer la vulnérabilité
  • Fournir une documentation détaillée de vos découvertes
  • Garder confidentielles les communications sur la vulnérabilité
  • Accorder un délai raisonnable pour que nous traitions la vulnérabilité
  • Tester avec vos propres comptes ou données de test dans la mesure du possible

❌ Ce qu'il ne faut pas faire

  • Supprimer, modifier ou voler des données
  • Effectuer des tests pouvant causer une interruption de service
  • Violer la confidentialité d'autres utilisateurs
  • Utiliser l'ingénierie sociale contre des employés ou des utilisateurs
  • Mener des attaques physiques contre notre infrastructure
  • Divulguer publiquement des vulnérabilités avant que nous ayons eu le temps de les traiter
  • Exiger un paiement ou une compensation pour les signalements de vulnérabilités

4. Règles spéciales pour les intégrations tierces

🔵 Intégration Facebook (Meta)

  • Éviter d'abuser des API Facebook ou de dépasser les limites de débit
  • Ne pas tenter d'accéder aux données utilisateurs sans autorisation
  • Suivre les politiques de sécurité et le programme de récompenses de Facebook
  • Signaler les vulnérabilités spécifiques à Facebook à leur équipe de sécurité le cas échéant

🟢 Intégration Google Analytics

  • Être prudent lors des tests des mécanismes de collecte de données analytiques
  • Éviter d'utiliser de vraies données utilisateurs lors des tests
  • Respecter les Conditions d'utilisation de Google
  • Se concentrer sur l'implémentation de Whispie, pas sur l'infrastructure de Google

🟣 Intégration Stripe

  • Ne pas tester avec de vraies transactions de paiement
  • Utiliser uniquement des cartes de test et des environnements sandbox
  • Suivre les politiques de sécurité et les directives de divulgation de Stripe
  • Signaler les vulnérabilités spécifiques à Stripe à leur équipe de sécurité

🟠 Intégration Supabase

  • Tester la sécurité de la base de données sans accéder aux vraies données utilisateurs
  • Utiliser des comptes et des bases de données de test dans la mesure du possible
  • Suivre les directives de sécurité de Supabase
  • Se concentrer sur l'implémentation des services Supabase par Whispie

5. Processus de divulgation

1
Rapport initial
Envoyez vos découvertes par e-mail à [email protected] avec des informations détaillées comprenant :
  • Description de la vulnérabilité
  • Étapes pour reproduire
  • Impact potentiel
  • Correctifs suggérés (le cas échéant)
2
Vérification
Notre équipe de sécurité accusera réception dans les 24 à 48 heures et vérifiera la vulnérabilité dans les 3 jours ouvrables.
3
Remédiation
Nous développerons un correctif pour la vulnérabilité en fonction de sa gravité et de sa complexité.
4
Notification
Nous vous tiendrons informé de notre progression et vous avertirons lorsque la vulnérabilité sera résolue.
5
Divulgation publique
Après le déploiement du correctif, nous pourrons reconnaître publiquement votre contribution (avec votre permission).

6. Délais de réponse

  • Réponse initiale : 24 à 48 heures
  • Vérification de la vulnérabilité : 3 jours ouvrables
  • Développement de la remédiation : Variable selon la gravité et la complexité
  • Divulgation publique : 30 jours après la remédiation

Remarque : Les vulnérabilités complexes peuvent nécessiter un délai supplémentaire pour une remédiation appropriée.

7. Coordonnées

E-mail de sécurité : [email protected]

Clé PGP : Télécharger ici

Contact d'urgence : +1-XXX-XXX-XXXX (Pour les incidents de sécurité critiques uniquement)

Chiffrement : Nous vous encourageons à chiffrer vos rapports avec notre clé PGP pour les informations sensibles.

8. Protections juridiques

Nous n'engagerons pas de poursuites judiciaires contre vous pour avoir mené des recherches en matière de sécurité conformément à cette politique. Nous considérons que les activités menées conformément à cette politique constituent une conduite « autorisée » au sens de la loi sur la fraude et les abus informatiques.

Cependant, si vos actions incluent des activités non autorisées par cette politique, nous nous réservons le droit de prendre toutes les mesures appropriées, y compris des recours juridiques.

9. Programme de reconnaissance

Bien que nous n'opérions pas actuellement de programme formel de récompenses pour les bugs, nous croyons en la reconnaissance des contributions précieuses des chercheurs en sécurité. Avec votre permission, nous pourrons :

  • Ajouter votre nom à notre Panthéon de la Sécurité
  • Reconnaître publiquement votre contribution
  • Fournir une lettre de reconnaissance pour votre portfolio professionnel

Nous évaluons continuellement nos programmes de reconnaissance en matière de sécurité et pourrons introduire des récompenses monétaires à l'avenir.

10. Mises à jour de la politique

Nous pouvons mettre à jour cette politique de temps en temps. La date de « Dernière mise à jour » en haut de cette page indique quand les modifications les plus récentes ont été apportées. Nous vous encourageons à consulter cette politique périodiquement.