Trouvez des bugs, soyez recompense.
Aidez-nous a ameliorer notre securite et gagnez des recompenses. Nous invitons les chercheurs en securite a tester nos systemes de maniere responsable. Si vous trouvez une vulnerabilite, nous vous paierons pour l'avoir signalee.
Regles de base
Testez prudemment : ne perturbez pas nos services et n'utilisez pas d'outils d'analyse automatises.
Utilisez uniquement votre propre compte de test. Ne tentez jamais d'acceder aux comptes d'autres utilisateurs.
Prevenez-nous immediatement si vous obtenez un acces a nos systemes internes.
Gardez toute decouverte confidentielle jusqu'a ce que nous ayons resolu le probleme.
Seule la premiere personne a signaler une vulnerabilite specifique recoit la recompense.
Ce que nous recherchons
Nous recompensons les decouvertes qui representent de vrais risques de securite. Les recompenses les plus elevees vont aux problemes les plus critiques :
Acces non autorise aux donnees d'autres utilisateurs (la simple confirmation de l'existence d'un compte ne suffit pas).
Contournement des controles de securite de l'API (ex. evasion de limitation de debit, contournement d'authentification).
Vulnerabilites de type cross-site scripting (XSS).
Execution de code a distance sur nos serveurs.
Injection SQL ou autres attaques par injection.
Failles d'authentification ou de gestion de session.
Nous ne recompensons que les vulnerabilites de securite pouvant nuire aux utilisateurs ou a leurs donnees, pas les bugs cosmetiques ou les fonctionnalites defaillantes.
Ce que nous ne recompensons pas
Attaques par deni de service (DoS/DDoS) ou tentatives de force brute.
Problemes de contenu mixte ou de configuration SSL.
Attaques d'ingenierie sociale ou de phishing.
Vulnerabilites theoriques sans preuve de concept fonctionnelle.
En-tetes de securite manquants ou parametres de renforcement standard (ex. politique de mot de passe, verification d'email).
Vulnerabilites dans des services tiers ou des dependances hors de notre controle.
Comment nous payons
Plus la vulnerabilite est critique, plus la recompense est elevee. Il n'y a pas de plafond fixe. Si vous trouvez quelque chose de particulierement serieux ou ingenieux, nous vous dedommagerons en consequence. Les montants des recompenses sont determines en fonction de l'impact potentiel de la vulnerabilite.
Les paiements sont traites en USD via PayPal apres verification et resolution de la vulnerabilite. Les frais PayPal standard s'appliquent.
Comment signaler
Soumettre
Remplissez le formulaire de signalement de vulnerabilite ci-dessous avec une description detaillee et une preuve de concept.
Examen
Notre equipe de securite examinera votre signalement et repondra sous 7 jours ouvrables.
Resolution
Nous travaillons sur un correctif. Nous pourrons vous contacter pour des details ou clarifications supplementaires.
Recompense
Une fois la vulnerabilite verifiee et resolue, nous traitons votre recompense en USD via PayPal.
Signaler une vulnerabilite
Remplissez le formulaire ci-dessous avec autant de details que possible. Incluez les etapes de reproduction, l'evaluation de l'impact et toute preuve de concept.