Politique de divulgation responsable

Dernière mise à jour : 4 juin 2026

1. Introduction

La sécurité de la plateforme Brake Point — et des données télémétrie qui y sont confiées — est une priorité. Cette politique décrit comment signaler une vulnérabilité de manière responsable, ce que nous nous engageons à faire en retour, et la liste des chercheurs ayant contribué à améliorer notre sécurité.

Elle s'applique aux domaines suivants :

  • www.brakepoint.io (site marketing public)
  • app.brakepoint.io (application web)
  • api.brakepoint.io (API REST)
  • Applications mobiles iOS et Android Brake Point

2. Comment signaler une vulnérabilité

Envoyez un email à security@brakepoint.io avec les éléments suivants :

  • Description de la vulnérabilité (type, classe OWASP si pertinent)
  • URL ou endpoint affecté
  • Étapes de reproduction (proof of concept, requêtes curl, captures d'écran)
  • Impact estimé (lecture/écriture, données accessibles, prérequis d'authentification)
  • Vos coordonnées (nom ou pseudonyme à créditer, le cas échéant)

Un fichier /.well-known/security.txt conforme à la RFC 9116 est également disponible.

3. Nos engagements

  • Accusé de réception dans les 3 jours ouvrés
  • Évaluation et triage dans les 10 jours ouvrés
  • Correctif déployé dans un délai conforme à la gravité :
    • Critique / Haute : 30 jours
    • Moyenne : 60 jours
    • Basse : 90 jours
  • Crédit public sur cette page après déploiement du correctif (ou anonymat si vous le souhaitez)
  • Pas de poursuite contre les chercheurs respectant cette politique

4. Périmètre

4.1 In-scope

  • Vulnérabilités d'authentification, de session, ou de contrôle d'accès
  • Injections (SQL, NoSQL, command, template)
  • Cross-Site Scripting (XSS) avec exécution JavaScript démontrée
  • Cross-Site Request Forgery (CSRF) sur des actions sensibles (changement de mot de passe, suppression de compte, modifications de paiement)
  • Server-Side Request Forgery (SSRF), Local/Remote File Inclusion (LFI/RFI)
  • Insecure Direct Object References (IDOR) permettant l'accès aux données d'un autre utilisateur
  • Exposition de secrets, clés API, ou identifiants
  • Élévation de privilèges (PILOT → TRAINER → ADMIN)
  • Contournement du paiement Stripe ou des limites de quota

4.2 Out-of-scope

  • En-têtes HTTP manquants sans exploit démontré (CSP, HSTS, X-Frame-Options seuls — utiles, mais signalés en attente d'amélioration interne)
  • Self-XSS, clickjacking sur pages publiques sans action sensible
  • Énumération d'utilisateurs sur les endpoints d'inscription / connexion par design (BetterAuth retourne le même statut)
  • CSRF sur des actions non sensibles (changement de langue, déconnexion)
  • Open redirects sans impact démontré
  • Spoofing email contre des sous-domaines sans MX
  • Vulnérabilités nécessitant un accès physique ou compromission du poste utilisateur
  • Attaques par déni de service (DoS, DDoS) — ne tentez pas
  • Vulnérabilités dans des dépendances tierces sans démonstration d'exploit sur notre infrastructure
  • Findings issus de scans automatisés sans validation manuelle

5. Règles d'engagement

Les chercheurs s'engagent à :

  • Ne pas perturber le service ni dégrader l'expérience des autres utilisateurs
  • Ne pas accéder, modifier ou supprimer des données ne vous appartenant pas — utilisez votre propre compte pour les tests
  • Ne pas pratiquer d'ingénierie sociale envers nos employés, prestataires ou utilisateurs
  • Ne pas tester contre l'infrastructure Stripe, Brevo ou Scaleway au-delà des endpoints publics de Brake Point
  • Ne pas divulguer publiquement la vulnérabilité avant le déploiement du correctif (coordination requise — 90 jours par défaut)
  • Limiter les requêtes automatisées à un volume raisonnable (≤ 5 req/s)

6. Récompenses

Brake Point ne propose pas de programme de bug bounty rémunéré à ce stade. Nous offrons :

  • Crédit public sur cette page (avec lien et catégorie de vulnérabilité)
  • Remerciements nominatifs dans le commit de correctif et le CHANGELOG
  • Goodies Brake Point (stickers, t-shirt) pour les contributions notables — sur demande, dans la limite des stocks
  • Pour des contributions exceptionnelles : accès gratuit longue durée au plan Pro

Cette politique pourra évoluer vers un programme rémunéré après le lancement officiel (fin novembre 2026).

7. Remerciements

Nous remercions publiquement les chercheurs ayant contribué à améliorer la sécurité de Brake Point :

Aucun signalement validé à ce jour. Soyez le premier.

8. Contact

Signalement de vulnérabilité : security@brakepoint.io

Délégué à la Protection des Données (DPO) : privacy@brakepoint.io

Adresse postale :

Ethan Consulting
10 allées des boutons d'or
78180 Montigny-le-Bretonneux
France