Programme de divulgation responsable
Trouve Tes Clients accueille les chercheurs en sécurité qui nous aident à protéger nos utilisateurs et leurs données. Cette page décrit nos engagements, le périmètre et les modalités de signalement.
Dernière mise à jour : 11 mai 2026
Notre engagement (safe harbor)
Tant que vous respectez cette politique, nous nous engageons à ne pas engager de poursuites contre les chercheurs de bonne foi qui restent dans le périmètre, à traiter votre rapport de manière confidentielle et à vous créditer publiquement si vous le souhaitez.
Périmètre
Inclus
- app.trouvetesclients.com — application principale
- trouvetesclients.com — site marketing
- Extension Chrome Trouve Tes Clients (à venir)
- Endpoints API publics (/api/v1/*)
Hors périmètre
- DoS volumétrique (flood, amplification, brute-force massif)
- Social engineering des employés, prestataires ou utilisateurs
- Attaques physiques sur les bureaux ou le matériel
- Vulnérabilités tierces (Stripe, Supabase, Clerk, Hetzner, Cloudflare) — à reporter chez l'éditeur concerné
Comment reporter
Envoyez votre rapport par email à :
Email sécurité : security@trouvetesclients.com
Clé PGP disponible sur demande à la même adresse (empreinte à publier).
Réponse sous 48 heures ouvrables (lundi–vendredi, hors jours fériés français).
Contenu attendu
- Description claire de la vulnérabilité
- Composants affectés (URL, endpoint, paramètre)
- Étapes de reproduction reproductibles
- Impact estimé et preuves (captures, PoC minimal)
Processus
Accusé de réception
Sous 48 heures ouvrables — confirmation et demande de précisions si besoin.
Triage
Sous 5 jours ouvrables — évaluation d'impact, attribution d'une sévérité, ouverture d'un ticket interne.
Correctif
Délais cibles : Critical 24–72 h, High 7 jours, Medium 30 jours, Low 90 jours.
Disclosure coordonnée
Publication conjointe (advisory, changelog) selon un calendrier convenu, typiquement 90 jours après le fix.
Récompenses
Pas de bug bounty monétaire à ce stade. En contrepartie : remerciements publics sur cette page, mention nominative dans le changelog de la version corrigée, lettre de référence signée par la direction et goodies sur demande. Un programme rémunéré est à l'étude pour 2026–2027.
Remerciements
Soyez le premier à apparaître ici.
Questions fréquentes
- Mon rapport est-il éligible si je l'ai déjà signalé via un autre canal ?
- Oui, à condition de le mentionner et que le signalement initial date de moins de 30 jours.
- Puis-je tester en production ?
- Oui, à condition d'utiliser vos propres comptes de test et de respecter les règles d'engagement. Évitez les heures de pointe (9h–11h CET) pour limiter l'impact opérationnel.
- Que faire en cas d'accès accidentel à des données tierces ?
- Cessez immédiatement, ne stockez rien, et signalez-le dans le rapport. Cela ne remet pas en cause le safe harbor.
- Combien de temps avant que je puisse publier ?
- Par défaut 90 jours après le déploiement du correctif, ou immédiatement si vous l'exigez et que le fix est confirmé.
- Y a-t-il une récompense financière ?
- Pas pour le moment. Nous offrons crédit public, lettre de référence et goodies. Un programme rémunéré est envisagé pour 2026–2027.