Aller au contenu principal
Petanque Life

RFC 9116 · ISO/IEC 29147

Divulgation coordonnée des vulnérabilités

Chercheurs en sécurité, clients et membres du public qui pensent avoir identifié une faille dans un service Petanque Life sont invités à la signaler via les canaux ci-dessous. Nous suivons la RFC 9116 (security.txt) et l'ISO/IEC 29147 (divulgation des vulnérabilités).

Comment nous joindre

Envoyez un email chiffré à security@petanque.life à l'aide de la clé PGP publiée sur /security/pgp-key.asc. Si l'email chiffré n'est pas possible, utilisez le formulaire sur petanque.life/security et nous répondrons depuis une adresse vérifiable.

Dans le périmètre

  • petanque.life et tout sous-domaine *.petanque.life hébergé par Petanque Life
  • Les applications mobiles « Petanque Life » et « Petanque Life Admin » publiées sous le compte développeur Esi System AB
  • L'API REST publique sur api.petanque.life
  • Les sites CMS des fédérations et clubs sur *.web.petanque.life

Hors périmètre

  • Les déploiements auto-hébergés par des fédérations qui ne sont pas exploitées par Petanque Life
  • Les rapports nécessitant un accès physique à l'appareil d'un utilisateur
  • Les tests de déni de service volumétrique
  • Les conclusions limitées à des navigateurs obsolètes, à des en-têtes de bonne pratique manquants sans exploit, ou à de l'ingénierie sociale du personnel
  • Les services tiers que nous intégrons — merci de les signaler à leur éditeur

Ce que votre rapport doit contenir

  • Une description claire du problème et de l'impact
  • Étapes de reproduction, requêtes et preuve de concept minimale
  • URL, build ou hash de commit affecté si connu
  • Si vous souhaitez être crédité dans le hall of fame

Nos engagements

  • Accusé de réception sous 3 jours ouvrés
  • Décision de triage sous 10 jours ouvrés
  • Mise à jour du statut au moins tous les 14 jours jusqu'à résolution
  • Divulgation publique coordonnée avec le rapporteur, généralement après déploiement du correctif

Safe harbour

Une recherche menée de bonne foi conformément à cette politique ne fera pas l'objet de poursuites. N'accédez pas et ne modifiez pas de données qui ne vous appartiennent pas, n'exfiltrez aucune donnée, et arrêtez les tests dès la confirmation de la vulnérabilité.

Juridique

Cette politique n'exonère pas la responsabilité pénale pour des actes pris hors de son périmètre, et n'autorise pas les tests contre des prestataires tiers. Ne signalez que les systèmes que vous êtes autorisé à tester selon cette politique.

Hall of fame

Nous remercions publiquement les chercheurs dont les rapports sont valides. Le hall of fame est sur /security/hall-of-fame.

Voir le hall of fame →