🔒 Politique de Sécurité

Divulgation responsable des vulnérabilités

Notre Engagement

Chez Blob, la sécurité de nos utilisateurs est notre priorité absolue. Nous encourageons les chercheurs en sécurité à nous aider à identifier et corriger les vulnérabilités de manière responsable.

Signalement responsable

Si vous identifiez une vulnérabilité sur Blob, contactez-nous à [email protected] avec les informations utiles pour reproduire et évaluer le problème.

À inclure dans votre signalement

  • URL ou surface concernée
  • Étapes de reproduction
  • Impact potentiel
  • Captures ou preuve de concept non destructive, si utile

🎯 Périmètre des Tests (Scope)

Autorisé

  • • API publique : /api/auth/*
  • • API publique : /api/public/*
  • • Application web : https://blobsurf.com/*
  • • Tests sur vos propres comptes uniquement

Interdit

  • • Endpoints admin : /admin/*
  • • Données d'autres utilisateurs
  • • Attaques DoS/DDoS
  • • Social engineering

📋 Règles d'Engagement

  1. 1Créez vos propres comptes de test - Ne testez jamais sur des comptes réels
  2. 2Respectez la confidentialité - Ne divulguez pas de données personnelles découvertes
  3. 3Divulgation responsable - Accordez-nous 90 jours pour corriger avant publication
  4. 4Communication responsable - Utilisez [email protected]
  5. 5Une vulnérabilité à la fois - Signalez chaque faille individuellement
  6. 6Fournissez des détails - Steps to reproduce, impact, proof of concept

🔄 Processus de Divulgation

1

Signalement

Envoyez un email à [email protected] avec les détails

2

Accusé de réception

Nous confirmons la réception dès que possible

3

Évaluation

Nous validons la vulnérabilité et évaluons la criticité

< 7 jours

4

Correction

High: 14j, Medium: 30j, Low: 90j

Selon criticité

5

Clôture

Nous vous tenons informé de l'issue du signalement

Après correction

🚫 Vulnérabilités Hors Scope

Les vulnérabilités suivantes sont hors périmètre :

  • SPF, DKIM, DMARC (configuration email)
  • SSL/TLS configuration
  • Clickjacking (X-Frame-Options: DENY)
  • Absence de rate limiting (déjà implémenté)
  • Vulnérabilités physiques
  • Bugs fonctionnels sans impact sécurité

⚖️ Conformité Légale (France)

Code Pénal Article 323-1

L'accès frauduleux à un système informatique est puni de 2 ans d'emprisonnement et de 60 000€ d'amende. Cette page décrit un cadre de signalement responsable ; elle ne remplace pas un accord juridique individuel.

RGPD & Données Personnelles

Ne pas exfiltrer, divulguer ou conserver de données personnelles. En cas de découverte accidentelle, contactez immédiatement [email protected].

📧 Contact

Email de sécurité : [email protected]

Fichier security.txt : /.well-known/security.txt

Hall of Fame : /security-hall-of-fame

Nous traitons les signalements de sécurité de manière responsable et priorisée.

Politique de Sécurité · Blob