Divulgation de sécurité

Signaler une vulnérabilité

Si vous pensez avoir découvert une vulnérabilité de sécurité affectant cryptoservers.io ou l'infrastructure sous-jacente, veuillez la signaler par l'un des canaux suivants :

• E-mail — [email protected], de préférence chiffré PGP avec notre clé publique.
• security.txt — contact lisible par machine à l'adresse /.well-known/security.txt conformément à la RFC 9116.
• HackerOne privé — sur invitation ; mentionnez votre pseudonyme HackerOne dans votre premier message.

Nous vous prions de ne pas divulguer les vulnérabilités sur des canaux publics (tickets GitHub, Twitter, Mastodon, tickets d'assistance) avant que nous ayons eu la possibilité de répondre.

Périmètre

Dans le périmètre

• La propriété web cryptoservers.io et tous ses sous-domaines.
• Le panneau de contrôle client (panel.cryptoservers.io).
• Le répertoire /.well-known/ et son contenu signé.
• Les bugs d'évasion d'hyperviseur, hôte vers invité, invité vers invité et de migration à chaud affectant notre infrastructure KVM.
• Les contournements d'authentification / d'autorisation dans le panneau ou son flux OAuth.
• L'exposition de données personnelles (PII) ou de données de paiement de clients.

Hors périmètre

• Les contenus hébergés par les clients ou les services exploités par les clients sur notre infrastructure — contactez directement le client ou utilisez abuse@.
• Les tests de déni de service contre notre infrastructure.
• L'ingénierie sociale visant notre personnel.
• Les résultats de scanners automatisés sans impact démontrable.
• Les en-têtes de sécurité manquants n'entraînant pas directement une vulnérabilité.
• Les versions logicielles obsolètes sur les surfaces marketing sans exploit fonctionnel.

Ce qui se passe après votre signalement

1. Accusé de réception sous 24 heures, 7 jours sur 7. Signé PGP.
2. Triage sous 72 heures — évaluation de la gravité et délai de remédiation initial.
3. Correction et vérification — nous déployons un correctif, vous demandons de le vérifier, puis le mettons en production.
4. Divulgation coordonnée — convenue avec vous, généralement 90 jours après la livraison du correctif. Nous publierons un post-mortem en vous créditant (ou anonymement sur demande).
5. Prime — voir la section Prime ci-dessous.

Barème de récompenses

Versée en USD (par virement bancaire) ou dans la cryptomonnaie de votre choix (BTC, XMR, LTC, ETH, DASH, BCH, DOGE) au taux spot du jour d'attribution.

Les signalements en double sont récompensés selon le principe de la première soumission valide. La prime la plus élevée versée à ce jour est de $12 000 (2025-09-11, TOCTOU sur migration à chaud d'hyperviseur). Tous les chercheurs dont le signalement est valide sont référencés dans le Hall of Fame sur option.

Port franc

Les recherches menées dans le cadre et l'esprit de la présente politique ne sont pas considérées comme un accès non autorisé en vertu du droit de Saint Kitts ou du droit de nos juridictions d'exploitation, et nous n'engagerons pas de poursuites civiles ou pénales contre les chercheurs agissant de bonne foi. Plus précisément :

• N'exfiltrez pas plus de données que nécessaire pour démontrer l'impact — une seule capture d'écran suffit.
• N'effectuez pas d'actions destructives (suppression de données clients, arrêt de services, modification de l'état de production).
• Cessez et signalez dès que l'impact est démontré.
• Ne partagez pas vos conclusions avec des tiers avant la date de divulgation coordonnée.

Si vous sortez accidentellement du périmètre — avec une intention de bonne foi — contactez-nous immédiatement et nous traiterons la situation ensemble.