🛡️

Signalement de vulnérabilité

Vous avez découvert un problème de sécurité sur MonCarnetULM ? Merci de nous le signaler de façon responsable. Nous nous engageons à traiter chaque rapport sérieusement et rapidement.

📬 Comment nous contacter

Envoyez un email décrivant la vulnérabilité à l'adresse dédiée ci-dessous. Ne divulguez pas la faille publiquement avant que nous ayons eu le temps de la corriger.

Adresse email de signalement sécurité : security@moncarnetulm.fr

Vous pouvez également contacter l'équipe via info@moncarnetulm.fr en indiquant [SECURITY] dans l'objet.

📋 Contenu du rapport

Pour nous permettre de reproduire et corriger le problème rapidement, merci d'inclure :

  1. Une description claire de la vulnérabilité et de son impact potentiel
  2. Les étapes pour reproduire le problème (URL, paramètres, captures d'écran si possible)
  3. Le type de faille suspecté (XSS, injection SQL, IDOR, CSRF, etc.)
  4. Votre nom ou pseudonyme si vous souhaitez être crédité

🎯 Périmètre

✅ Dans le périmètre

  • moncarnetulm.fr et sous-domaines
  • API (api/*)
  • Authentification & sessions
  • Gestion des données pilotes
  • Partage et accès aux carnets
  • Upload de fichiers

❌ Hors périmètre

  • Attaques par déni de service (DoS)
  • Spam ou ingénierie sociale
  • Vulnérabilités dans des librairies tierces non exploitables
  • Failles sans impact démontrable
  • Tests sur des comptes d'autres utilisateurs sans consentement

⏱️ Nos engagements de réponse

48h Accusé de réception de votre rapport
7j Évaluation initiale et confirmation de la vulnérabilité
90j Délai maximum de correction avant divulgation coordonnée

⚖️ Safe Harbor (protection du chercheur)

Nous considérons que la recherche en sécurité menée de bonne foi, dans le respect de cette politique, constitue une activité autorisée. Nous ne prendrons pas de mesures légales contre les personnes qui signalent des vulnérabilités en conformité avec ces règles, et nous nous engageons à ne pas transmettre votre identité à des tiers sans votre consentement. Votre démarche responsable contribue à la sécurité de tous les utilisateurs de MonCarnetULM.

📜 Règles de bonne conduite

  • Ne pas accéder, modifier ou supprimer des données appartenant à d'autres utilisateurs
  • Ne pas perturber le service (pas de DoS, pas de fuzzing agressif en production)
  • Ne pas divulguer la vulnérabilité avant la correction (divulgation coordonnée)
  • Limiter vos tests à votre propre compte ou à un compte de test
  • Agir de bonne foi dans l'intérêt de la communauté

🏅 Remerciements

Nous remercions les chercheurs qui contribuent à la sécurité de MonCarnetULM. Les personnes ayant signalé des vulnérabilités valides peuvent être créditées dans notre Hall of Fame sur simple demande (dans votre rapport).

MonCarnetULM est un projet indépendant et ne dispose pas de programme de bug bounty rémunéré à ce jour. Votre contribution est avant tout reconnue publiquement et avec toute notre gratitude.

Cette politique est conforme à la RFC 9116 (security.txt) et aux recommandations de l'ANSSI.
Dernière mise à jour : 14/05/2026

v2.9.0