Divulgation responsable
Vous avez trouvé une faille ? Merci.
Maestor accueille positivement les signalements de failles de sécurité par la communauté. Voici notre politique de divulgation responsable et la marche à suivre.
Comment nous signaler une faille
Envoyez votre rapport à security@maestor.eu avec, idéalement :
- Description de la vulnérabilité (type, URL/endpoint impacté, conditions de reproduction)
- Impact potentiel (lecture/modification de données, prise de contrôle, etc.)
- Preuve de concept minimale (sans exploitation au-delà du nécessaire pour démontrer)
- Vos coordonnées pour qu'on puisse échanger (pseudonyme accepté)
Pour les rapports sensibles, utilisez notre clé PGP : à publier prochainement.
Notre engagement en retour
- Accusé de réception sous 48 h ouvrées. On vous confirme la prise en compte du rapport rapidement.
- Investigation sous 7 jours. Nous évaluons la sévérité et confirmons l'impact réel.
- Correction selon sévérité. Critique : sous 7 jours. Majeur : sous 30 jours. Mineur : prochaine release.
- Reconnaissance publique si vous le souhaitez (Hall of Fame). Bug bounty financier à venir une fois l'instance security mature (post-ISO 27001).
Règles du jeu
On vous demande en retour :
- Ne pas exploiter la faille au-delà du nécessaire pour la démontrer
- Ne pas accéder, modifier ou exfiltrer des données d'autres utilisateurs
- Ne pas divulguer publiquement la faille avant qu'on l'ait corrigée (ou 90 jours)
- Pas d'attaque DoS, social engineering, phishing
En respectant ces règles, Maestor s'engage à ne pas engager de poursuites légales contre vous.