Politique de divulgation responsable
La sécurité de MileoApp et de ses utilisateurs est notre priorité. Nous encourageons les chercheurs en sécurité à nous signaler de manière responsable toute vulnérabilité découverte.
Périmètre
Les systèmes suivants sont dans le périmètre :
- mileoapp.fr — Application MileoApp (API + Frontend)
- *.mileoapp.fr — Sous-domaines MileoApp
Les systèmes suivants sont hors périmètre :
- Services tiers (OVHcloud, Have I Been Pwned)
- Ingénierie sociale / phishing contre nos employés
- Attaques physiques
- Déni de service (DoS/DDoS)
Comment signaler
- Envoyez un email à security@mileoapp.fr
- Incluez une description détaillée de la vulnérabilité
- Fournissez les étapes de reproduction
- Si possible, incluez une preuve de concept (PoC)
- Indiquez l'impact potentiel
Ce que nous demandons
- Ne pas accéder aux données d'autres utilisateurs
- Ne pas modifier ou supprimer de données
- Ne pas interrompre le service (pas de DoS)
- Ne pas divulguer publiquement la vulnérabilité avant notre accord
- Nous laisser un délai raisonnable pour corriger (90 jours)
Ce que nous offrons
- Accusé de réception sous 48 heures
- Évaluation sous 7 jours ouvrés
- Correction dans un délai proportionné à la sévérité
- Notification quand la vulnérabilité est corrigée
- Reconnaissance publique (Hall of Fame) si vous le souhaitez
- Aucune poursuite judiciaire pour les signalements de bonne foi
Sévérité et délais
| Sévérité | Délai de correction | Exemples |
|---|---|---|
| Critique | 24-48 heures | RCE, injection SQL, bypass auth complet |
| Haute | 7 jours | XSS stocké, IDOR, élévation de privilèges |
| Moyenne | 30 jours | CSRF, information disclosure, misconfiguration |
| Basse | 90 jours | Headers manquants, best practices |
Hors périmètre
Les signalements suivants ne seront pas traités comme des vulnérabilités :
- Résultats de scans automatisés sans impact démontré
- Absence de flags rate limiting dans des zones non-critiques
- Version disclosure (sauf si exploitable)
- Clickjacking sur des pages sans action sensible
- Self-XSS (exécution dans son propre navigateur uniquement)
Contact
- Email : security@mileoapp.fr
- PGP : disponible sur /.well-known/pgp-key.txt
- security.txt : /.well-known/security.txt (RFC 9116)
Cette politique est inspirée des bonnes pratiques de l'ANSSI et du CERT-FR en matière de divulgation coordonnée de vulnérabilités.