Politique de divulgation des vulnérabilités

Dernière mise à jour : 07.03.2026

Introduction

[ MECANIK DEV ] prend au sérieux la sécurité de ses systèmes et services. Nous valorisons le travail des chercheurs en sécurité qui nous aident à améliorer notre posture de sécurité.

Cette politique décrit comment nous signaler des vulnérabilités et ce que vous pouvez attendre en retour.

Périmètre

Cette politique s’applique aux domaines et services suivants :

  • mecanik.dev
  • members.mecanik.dev
  • api.mecanik.dev

Signalement d’une vulnérabilité

Si vous pensez avoir découvert une faille de sécurité dans l’un de nos systèmes, veuillez nous la signaler par e-mail :

[email protected]

Veuillez inclure les éléments suivants dans votre rapport :

  • Une description de la vulnérabilité
  • Les étapes pour reproduire le problème
  • L’impact potentiel de la vulnérabilité
  • Tout code de preuve de concept, le cas échéant

Ce à quoi vous pouvez vous attendre

  • Accusé de réception : Nous accuserons réception de votre rapport dans un délai de 3 jours ouvrables.
  • Évaluation : Nous examinerons et validerons la vulnérabilité signalée.
  • Mises à jour : Nous vous tiendrons informé de notre avancement.
  • Résolution : Nous nous efforçons de résoudre les vulnérabilités critiques aussi rapidement que possible.
  • Reconnaissance : Avec votre permission, nous reconnaîtrons votre contribution sur notre page Remerciements en matière de sécurité .

Lignes directrices

Nous demandons aux chercheurs en sécurité de :

  • Faire tout leur possible pour éviter les atteintes à la vie privée, la destruction de données et les interruptions de service.
  • N’interagir qu’avec les comptes qui leur appartiennent ou avec la permission explicite du titulaire du compte.
  • Ne pas exploiter une vulnérabilité au-delà de ce qui est nécessaire pour la démontrer.
  • Signaler les vulnérabilités rapidement et nous accorder un délai raisonnable pour y remédier avant toute divulgation publique.
  • Ne pas s’engager dans des actes d’ingénierie sociale, de phishing ou d’attaques physiques contre notre personnel ou notre infrastructure.

Port sûr

Nous considérons que les recherches en sécurité menées conformément à cette politique sont :

  • Autorisées en vertu des lois anti-piratage applicables.
  • Exemptes des restrictions du DMCA sur le contournement des contrôles technologiques.

Nous n’engagerons pas de poursuites judiciaires contre les chercheurs qui respectent cette politique.

Exclusions

Les éléments suivants ne sont pas dans le périmètre :

  • Attaques par déni de service
  • Attaques d’ingénierie sociale
  • Attaques physiques
  • Campagnes de spam ou de phishing
  • Vulnérabilités dans des logiciels ou services tiers ne relevant pas de notre contrôle