Programme de divulgation.
Bug bounty privé Exior.
Exior considère la sécurité comme un moat doctrinaire. Toute personne qui découvre une vulnérabilité sur nos surfaces de production peut la signaler par écrit selon la procédure ci-dessous. Récompense pécuniaire selon barème, mention au hall of fame avec accord écrit du chercheur, et publication coordonnée.
Comment signaler
- Adressez votre rapport à security@exior.co, chiffré PGP (clé publiée sur /.well-known/security.txt).
- Décrivez la vulnérabilité, fournissez un proof-of-concept reproductible, indiquez l'impact potentiel et le scope affecté.
- Vous recevez un accusé de réception sous 24 h ouvrées et une évaluation initiale sous 5 jours ouvrés.
- Une fois la correction confirmée, paiement sous 30 jours. Embargo public 90 jours, puis publication coordonnée si vous le souhaitez.
Périmètre
Inclus
- *.exior.co (production publique uniquement)
- API publiques documentées sur /api-docs
- Pages cellules /c/{siren} (lecture authentifiée)
- Flux RSS, JSON Feed, sitemaps publics
- Cockpits dashboard et SATAR (post-authentification)
Hors périmètre
- Sous-domaines staging, preview, ephemeral
- Infrastructure tierce (Stripe, Resend, Vercel) — voir leurs propres programmes
- Tests de charge, déni de service distribué
- Tests d'ingénierie sociale ciblant les humains Exior
- Tests physiques sur infrastructures hébergées
Barème de récompense
| Sévérité | Exemples | Récompense |
|---|---|---|
| Critique | RCE, escalade root, exfiltration massive de données client | 5 000 € — 25 000 € |
| Élevée | Authn bypass, IDOR client-à-client, fuite secrets production | 1 500 € — 5 000 € |
| Moyenne | XSS stockée authentifiée, injection limitée, contournement de quota | 300 € — 1 500 € |
| Basse | XSS reflété non authentifié, déni de service local, divulgation mineure | 75 € — 300 € |
| Accessibilité | Régression WCAG 2.2 niveau AAA confirmée et reproductible | 150 € — 750 € |
Règles de conduite
- Aucune exfiltration de données autres que vos propres comptes test.
- Aucune dégradation de service ; aucun test destructif sur production.
- Délai d'embargo public minimum 90 jours après correction confirmée.
- Soumission unique par vulnérabilité : pas de re-soumission après correction.
- Respect strict du droit français et européen (LCEN, RGPD, NIS2).
Hall of fame
Le hall of fame Exior remerciera publiquement, avec accord écrit du chercheur, toute personne ayant contribué à élever la robustesse du système. La liste sera publiée ici dès le premier rapport accepté. Vous serez le premier ; nous l'écrirons en grand.