Guillaume Matheron

Data scientist, PhD in computer science

Politique de Signalement de Vulnérabilités

Dernière mise à jour : 22 novembre 2025.

Merci de contribuer à l’amélioration de la sécurité de nos services. Nous encourageons le signalement responsable des vulnérabilités afin de protéger nos utilisateurs et notre infrastructure. Cette politique décrit ce que nous considérons comme un signalement utile, comment nous le traiterons, et ce qui ne relève pas d’une vulnérabilité exploitable.

🎯 Objectif

Cette politique vise à :

  • Faciliter les échanges avec les chercheurs en sécurité.
  • Prioriser les signalements ayant un impact réel.
  • Réduire le volume de rapports non exploitables ou sans risque.

📌 Cadre général

Nous suivons les recommandations de l’ANSSI, du CERT-FR et les bonnes pratiques européennes en matière de divulgation responsable.
Nous demandons aux chercheurs :

  • d’agir de bonne foi ;
  • de limiter les tests pour ne pas affecter les services ;
  • de s’abstenir de toute action entraînant une interruption de service ou une compromission de données.

📝 Comment signaler une vulnérabilité

Veuillez fournir un rapport clair comprenant :

  1. Description du problème
  2. Étapes de reproduction détaillées
  3. Preuve de faisabilité (PoC) si possible
  4. Impact potentiel réel sur la confidentialité, l’intégrité ou la disponibilité
  5. Environnement concerné (URL, produit, version…)

Les signalements anonymes sont acceptés, mais une adresse de contact facilite le suivi.

Envoyez vos rapports à : security@gmcrd.fr (les courriels non chiffrés pourront être filtrés comme spam)

PGP keyDownload

🔍 Types de vulnérabilités considérées comme pertinentes

Nous priorisons notamment :

  • Exécution de code, escalade de privilèges
  • Injection (SQL, commandes…)
  • Accès à des données sensibles
  • Contournement d’authentification / session
  • Mauvaise configuration entraînant un impact exploitable
  • Attaques influençant la disponibilité (DoS) dans certains cas

🚫 Ce qui n’est pas considéré comme une vulnérabilité exploitable

Les éléments suivants sont généralement considérés comme faible impact ou hors périmètre, sauf démonstration claire d’exploitation :

  • Certificats expirés sur des environnements de test, staging ou dev
  • Headers manquants ou recommandations « best practices » non critiques
  • Notations de scanners automatisés sans analyse d’impact
  • DKIM/DMARC/SPF absents de domaines qui n’envoient pas d’e-mails
  • TLS « faiblement permissif » sans conséquence exploitable
  • Pages ou endpoints dépréciés mais sans impact sécurité
  • Failles purement théoriques sans scénario d’exploitation crédible

Ces signalements peuvent être classés comme informels ou non-actionnables.

🧭 Engagements de traitement

Nous nous engageons à :

  • Accuser réception du signalement
  • Analyser l’impact réel
  • Corriger les vulnérabilités confirmées selon leur criticité
  • Vous tenir informé dans la limite du raisonnable

Nous nous réservons le droit de :

  • Ignorer les signalements non exploitables
  • Déprioriser les rapports incomplets ou automatisés sans analyse

⚖️ Conditions légales

En signalant une vulnérabilité, vous acceptez que :

  • Aucune rémunération n’est garantie
  • Les tests ne doivent pas violer la loi (accès non autorisé, extraction de données réelles…)
  • Vous n’exploiterez pas la vulnérabilité au-delà de la preuve minimale de concept

🤝 Remerciements

Nous remercions les chercheurs agissant de bonne foi pour leurs contributions. Lorsque cela est possible, nous pouvons créditer les découvreurs sur cette page.

Pour toute question concernant cette politique : security@gmcrd.fr

guillaume

Leave a Reply

Your email address will not be published. Required fields are marked *