Politique de divulgation responsable

Dernière mise à jour : 2026-04-30 · Version V1

Contact sécurité

Si vous identifiez une vulnérabilité affectant lamaisondelaproprete.fr ou un de ses sous-domaines, signalez-la à security@lamaisondelaproprete.fr. Le fichier /.well-known/security.txt suit la norme RFC 9116.

Engagements LMP

• Accusé de réception sous 5 jours ouvrés.
• Première qualification documentée sous 10 jours ouvrés.
• Communication régulière jusqu'à la résolution ou clôture motivée.
• Aucune action légale envers les chercheurs respectant cette politique.

Périmètre

Inclus : lamaisondelaproprete.fr et sous-domaines, endpoints API publics, fichiers et formulaires accessibles publiquement.

Exclus : services tiers (Cloudflare, Vercel, Brevo, Sentry — à reporter directement à l'éditeur du service), ingénierie sociale du personnel, attaques par déni de service, vulnérabilités déjà publiques.

Règles du chercheur

• Pas d'accès à des données personnelles tierces au-delà du strict nécessaire pour démontrer la faille.
• Pas de modification, exfiltration, destruction de données.
• Pas de divulgation publique avant correctif déployé (délai raisonnable convenu, à défaut 90 jours).
• Respect du RGPD et du droit français.

Reconnaissance

LMP ne propose pas de programme bug bounty rémunéré à ce jour. Les chercheurs respectant cette politique peuvent être crédités (avec leur accord) dans une page de remerciements publique. Pour les cas graves, un dédommagement raisonnable peut être discuté au cas par cas.

Document de référence

Architecture de sécurité documentée dans docs/adr/0005-security-headers.md du dépôt source (CSP 'strict-dynamic', HSTS preload, COOP/CORP, Permissions-Policy 27 features, Reporting-Endpoints CSP, audit trimestriel).

Cette politique sera révisée tous les 12 mois. Prochaine revue : 2027-04-29.