Programme de Bug Bounty

FlowHunt vise à garantir la sécurité de ses services pour tous, et la protection des données est une priorité absolue. Si vous êtes chercheur en sécurité et que vous avez découvert une vulnérabilité dans le service, nous vous remercions de nous la signaler de manière privée afin de nous donner l’opportunité de la corriger avant toute publication des détails techniques.

FlowHunt s’engage auprès des chercheurs en sécurité lorsque des vulnérabilités nous sont signalées comme décrit ici. Nous validerons, répondrons et corrigerons les vulnérabilités dans le cadre de notre engagement pour la sécurité et la confidentialité. Nous n’engagerons aucune action en justice, ni ne suspendrons ou ne résilierons l’accès au service de ceux qui détectent et signalent des vulnérabilités de manière responsable. FlowHunt se réserve tous ses droits légaux en cas de non-respect de ces règles.

Éligibilité

Pour être éligible à notre programme de bug bounty, vous devez :

• Être âgé d’au moins 18 ans
• Ne pas être un employé, prestataire ou membre de la famille directe (actuel ou ancien) de FlowHunt
• Ne pas faire l’objet de sanctions américaines ni résider dans un pays sous embargo américain
• Être en conformité avec toutes les lois et réglementations applicables
• Suivre les pratiques de divulgation responsable

Signalement

Partagez les détails de toute vulnérabilité présumée avec l’équipe sécurité de FlowHunt à support@flowhunt.io . Merci de ne pas divulguer publiquement ces informations en dehors de ce processus sans permission explicite.

Exigences pour la qualité du signalement

Votre rapport de vulnérabilité doit inclure :

• Résumé : Brève description de la vulnérabilité
• Impact : Impact potentiel sur la sécurité et risque métier
• Étapes pour reproduire : Instructions détaillées, étape par étape
• Preuve de concept : Preuve démontrant la vulnérabilité
• Actifs affectés : URLs, paramètres ou composants spécifiques
• Évaluation de la sévérité : Votre évaluation du niveau de gravité
• Suggestions de correction : Correctifs recommandés (optionnel)

Si vous souhaitez soumettre plusieurs rapports à la fois, veuillez n’envoyer qu’un seul rapport (le plus important si possible) et attendre une réponse.

Délais de réponse

• Accusé de réception : Sous 5 jours ouvrés après la soumission du rapport
• Évaluation initiale : Sous 10 jours ouvrés
• Objectif de résolution : Sous 90 jours pour les vulnérabilités valides
• Mises à jour : Informations régulières sur l’avancement tout au long du processus

Récompense

Nous sommes heureux d’offrir une récompense pour toute information sur une vulnérabilité qui nous aide à protéger nos clients, en remerciement aux chercheurs en sécurité qui choisissent de participer à notre programme.

Classification de la sévérité

Gravité critique (100 $) :

• Exécution de code à distance
• Injection SQL permettant l’accès aux données
• Contournement de l’authentification affectant plusieurs utilisateurs
• Élévation de privilèges au niveau administrateur
• Prise de contrôle complète d’un compte

Gravité moyenne (50 $) :

• Cross-site scripting (XSS) à fort impact
• Contournement du contrôle d’accès affectant des données limitées
• Traversée de répertoires avec accès à des fichiers
• Vulnérabilités dans la gestion des sessions
• Authentification défaillante affectant un seul utilisateur

Faible gravité (Non éligible à une récompense) :

• Divulgation mineure d’informations
• Self-XSS sans vecteur d’attaque réaliste
• Problèmes de limitation de débit
• En-têtes de sécurité manquants sans impact exploitable

Modalités de paiement

• Les récompenses sont versées exclusivement via PayPal
• Les chercheurs doivent générer et envoyer une facture PayPal
• Aucun autre moyen de paiement n’est disponible
• Traitement du paiement sous 30 jours après réception de la facture
• Tous les paiements sont soumis à la réglementation fiscale applicable

Seul le premier signalement d’une vulnérabilité sera récompensé. Les rapports en double ne seront pas récompensés.

Périmètre

Inclus dans le périmètre

Vous ne pouvez tester que sur un compte FlowHunt dont vous êtes le propriétaire ou dont vous êtes un agent autorisé par le propriétaire pour effectuer ces tests. Par exemple : votredomaine.flowhunt.io

Actifs éligibles :

• Domaines et sous-domaines *.flowhunt.io
• Applications web et API FlowHunt
• Applications mobiles FlowHunt (si applicable)

Types de vulnérabilités éligibles :

• Exécution de commande à distance (RCE)
• Injection SQL
• Authentification défaillante
• Gestion de session défaillante
• Contournement du contrôle d’accès
• Cross-Site Scripting (XSS)
• Redirection ouverte d’URL
• Traversée de répertoires
• Server-Side Request Forgery (SSRF)
• Failles de logique métier

Hors périmètre

Activités interdites :

• Attaques d’ingénierie sociale (phishing, vishing, etc.)
• Attaques ou accès physique aux locaux de FlowHunt
• Attaques par déni de service (DoS) ou déni de service distribué (DDoS)
• Envoi de spam, communications en masse ou outils automatisés contre nos systèmes
• Attaques au niveau réseau ou scan d’infrastructure
• Attaques nécessitant un accès physique aux appareils utilisateurs
• Attaques par force brute ou cassage de mots de passe
• Tests sur des comptes dont vous n’êtes pas propriétaire ou n’avez pas l’autorisation explicite

Signalements non éligibles :

• Rapports où l’attaquant ne peut menacer que son propre compte
• XSS causé par un administrateur ou utilisateur privilégié
• Vulnérabilités nécessitant une interaction utilisateur improbable
• Problèmes nécessitant l’installation d’un logiciel malveillant par l’utilisateur
• Vulnérabilités théoriques sans voie d’exploitation claire
• Usurpation de contenu sans impact sur la sécurité
• Absence de limitation de débit sans impact démontrable
• Problèmes affectant uniquement des navigateurs ou plateformes obsolètes

Règles du programme

Bonnes pratiques de test

• Ne tester que sur des comptes que vous possédez ou pour lesquels vous avez une autorisation explicite
• Ne pas accéder, modifier ou supprimer les données d’autres utilisateurs
• Ne pas perturber nos services ni dégrader leurs performances
• Limiter les tests automatisés pour éviter toute perturbation du service
• Ne pas divulguer publiquement les vulnérabilités avant leur correction
• Faire de votre mieux pour éviter toute violation de la vie privée ou destruction de données

Protection juridique & Safe Harbor

FlowHunt s’engage à :

• Ne pas engager de poursuites contre les chercheurs respectant cette politique
• Collaborer avec les chercheurs pour comprendre et valider les problèmes de sécurité
• Reconnaître les contributions valides à notre sécurité
• Garantir la confidentialité et ne pas divulguer l’identité du chercheur sans consentement

Les chercheurs doivent :

• Respecter toutes les lois et réglementations applicables
• Accéder uniquement aux données nécessaires pour démontrer la vulnérabilité
• Signaler rapidement et de bonne foi les vulnérabilités
• Ne pas exploiter les vulnérabilités au-delà de ce qui est nécessaire à la démonstration

Calendrier de divulgation

• Immédiat : Rapport soumis à support@flowhunt.io
• 90 jours : Délai standard de divulgation après le premier rapport
• Coordonné : Divulgation publique uniquement après accord mutuel
• Urgence : Les vulnérabilités critiques peuvent bénéficier d’un délai accéléré

Les chercheurs peuvent divulguer publiquement les vulnérabilités 90 jours après le signalement initial, ou une fois que FlowHunt confirme la correction, selon la première éventualité. Nous encourageons une divulgation coordonnée et travaillerons avec les chercheurs pour convenir du meilleur timing.