Sécurité — LeGrattoir.

Politique de divulgation des vulnérabilités

LeGrattoir. prend la sécurité de sa plateforme et des données de ses utilisateurs très au sérieux. Si vous avez identifié une vulnérabilité, nous vous encourageons à nous la signaler de manière responsable selon la procédure décrite ci-dessous.

Dernière mise à jour : 27 avril 2026

1. Comment nous contacter

Envoyez votre rapport exclusivement par e-mail à :

contact@legrattoir.net

Objet recommandé : [SECURITY] Brève description du problème

2. Ce que doit contenir votre rapport

Pour nous permettre de traiter votre signalement efficacement, merci d'inclure :

  • Une description claire et précise de la vulnérabilité.
  • Les étapes permettant de reproduire le problème (proof of concept).
  • L'URL ou le composant affecté.
  • L'impact potentiel estimé (données exposées, comptes compromis, etc.).
  • Le type de vulnérabilité (XSS, IDOR, injection, etc.) si vous le connaissez.
  • Vos coordonnées si vous souhaitez être contacté pour suivi.

3. Périmètre concerné (in-scope)

Les éléments suivants sont dans le périmètre de notre programme de divulgation :

  • Application web www.legrattoir.net
  • API — endpoints accessibles via l'application principale.
  • Authentification — inscription, connexion, réinitialisation de mot de passe, gestion de sessions.
  • Données utilisateurs — accès non autorisé à des profils, messages, historiques de paiement, documents.
  • Système de paiement — portefeuille, recharges, retraits, transactions Stripe.

4. Hors périmètre (out-of-scope)

Les éléments suivants ne font pas l'objet de ce programme :

  • Attaques par déni de service (DoS/DDoS).
  • Spam, phishing ou ingénierie sociale ciblant nos utilisateurs.
  • Vulnérabilités dans des services tiers (Supabase, Stripe, Vercel) — signalez-les directement à ces fournisseurs.
  • Problèmes nécessitant un accès physique à un appareil.
  • Résultats automatisés de scanners sans preuve d'exploitabilité réelle.
  • Divulgation d'informations non sensibles (versions de logiciels, en-têtes HTTP génériques).

5. Nos engagements

Si vous respectez cette politique de divulgation responsable, nous nous engageons à :

  • Accuser réception de votre rapport dans un délai de 3 jours ouvrés.
  • Vous informer de notre évaluation initiale dans un délai de 10 jours ouvrés.
  • Travailler à la correction dans les meilleurs délais, proportionnellement à la criticité.
  • Ne pas engager de poursuites légales à votre encontre pour une divulgation de bonne foi, réalisée conformément à cette politique.
  • Vous mentionner dans notre hall of fame (avec votre accord) si vous le souhaitez.

6. Règles de divulgation responsable

Nous vous demandons de respecter les règles suivantes lors de vos recherches :

  • Ne pas accéder, modifier ou supprimer des données appartenant à d'autres utilisateurs.
  • Ne pas perturber le service ou dégrader l'expérience des utilisateurs.
  • Ne pas divulguer publiquement la vulnérabilité avant qu'un correctif ait été déployé.
  • Limiter vos tests au strict minimum nécessaire pour démontrer l'existence du problème.
  • Utiliser uniquement vos propres comptes de test lors de vos recherches.

7. Politique de non-rétorsion

LeGrattoir. s'engage à ne prendre aucune mesure juridique contre les chercheurs qui signalent des vulnérabilités de bonne foi, dans le respect des règles énoncées dans cette politique. Nous considérons ce type de démarche comme une contribution précieuse à la sécurité de notre plateforme et à la protection de nos utilisateurs.

Cette politique est susceptible d'évoluer. La version en vigueur est toujours disponible à cette adresse.

© 2026 LeGrattoir. — Tous droits réservés.