Aller au contenu principal

09 · Responsible Disclosure

Signaler une faille.
Cadre officiel.

Politique de signalement responsable des vulnérabilités. MyKonci remercie la communauté de recherche en sécurité pour sa contribution à la protection de la plateforme.

Dernière mise à jour · 2 avril 2026

01Notre engagement

MyKonci reconnaît l'importance du travail des chercheurs en sécurité et s'engage à :

  • Prendre au sérieux tout signalement reçu et y répondre dans les meilleurs délais.
  • Tenir le chercheur informé de la progression du traitement.
  • Créditer publiquement le chercheur (si souhaité) une fois la vulnérabilité corrigée.
  • Ne pas engager de poursuites à l'encontre d'un chercheur respectant la présente politique (safe harbor).

02Périmètre

Dans le périmètre :

  • mykonci.com et tous ses sous-domaines actifs.
  • L'API MyKonci et ses endpoints publics.
  • Le dashboard applicatif.

Hors périmètre :

  • Les sites et services de nos sous-traitants (Hetzner, OpenAI, Stripe, Twilio, etc.) : signalez directement au sous-traitant concerné.
  • Les attaques de type déni de service (DDoS, flood).
  • Les rapports purement théoriques sans démonstration technique de l'impact.
  • L'ingénierie sociale contre les employés ou clients.
  • Les vulnérabilités nécessitant un accès physique aux systèmes.
  • Les attaques sur l'infrastructure physique de l'hébergeur.

03Règles du jeu

Pour être protégé par la politique de safe harbor, le chercheur doit :

  • Signaler la vulnérabilité en privé via le canal indiqué ci-dessous.
  • Laisser à MyKonci un délai raisonnable pour corriger avant toute divulgation publique (90 jours par défaut, négociable).
  • Ne pas exploiter la vulnérabilité au-delà du strict nécessaire à la démonstration.
  • Ne pas accéder, modifier ni supprimer de données qui ne lui appartiennent pas.
  • Ne pas tenter d'extraire des données en masse, même techniquement faisable.
  • Ne pas utiliser la vulnérabilité à des fins personnelles ou commerciales.
  • Respecter la législation applicable.

04Comment signaler

Envoyez un email à security@mykonci.com avec les informations suivantes :

  • Description claire de la vulnérabilité.
  • URL(s) et composant(s) concerné(s).
  • Étapes de reproduction détaillées.
  • Impact potentiel estimé.
  • Toute preuve de concept (PoC) utile, dans le respect des règles ci-dessus.
  • Vos coordonnées de contact et votre souhait de crédit public (nom, pseudo, lien).

Pour les signalements sensibles, vous pouvez chiffrer votre message avec notre clé PGP disponible sur demande à la même adresse.

05Notre engagement de réponse

  • Accusé de réception : sous 48 heures.
  • Premier diagnostic : sous 7 jours ouvrés.
  • Correction : selon la gravité, entre quelques jours (critique) et 90 jours (faible).
  • Suivi : communication régulière avec le chercheur jusqu'à correction.
  • Divulgation coordonnée : publication coordonnée après correction, avec crédit au chercheur si souhaité.

06Reconnaissance

Les chercheurs dont le signalement aura permis la correction d'une vulnérabilité réelle pourront être crédités sur une page de reconnaissance publique (hall of fame) après correction, sous réserve de leur accord. Aucune rémunération n'est versée à ce stade, mais MyKonci envisage la mise en place d'un programme de bug bounty à terme.

07Cadre légal

MyKonci s'engage à ne pas engager de poursuites civiles ou pénales à l'encontre d'un chercheur ayant respecté la présente politique et agi de bonne foi. Cet engagement ne s'étend pas aux actes dépassant le strict périmètre de la recherche (vol de données, extorsion, atteinte à la vie privée, etc.).

08Contact

Tout signalement ou question : security@mykonci.com.