Skip to main content

Dernière mise à jour : 2026-05-21

Sécurité & Divulgation de Vulnérabilités

Nous prenons au sérieux la sécurité des données de nos clients. Si vous pensez avoir découvert une vulnérabilité de sécurité dans un service d’ELLYTIC Technologies UG (haftungsbeschränkt), nous vous encourageons à nous la signaler conformément à la politique ci-dessous. Nous nous engageons à collaborer de bonne foi avec les chercheurs et à reconnaître les signalements valides.

Dans le périmètre

Les propriétés ELLYTIC suivantes entrent dans le périmètre des signalements de sécurité :

  • ellytic.com et tous les sous-domaines (*.ellytic.com)
  • app.ellytic.com (Ops Workbench)
  • Endpoints API sous ellytic.com/api/* et app.ellytic.com/api/*
  • Flux d’authentification, y compris OAuth, magic-link et TOTP MFA
  • Tableaux de bord clients et flux de commande
  • Wizard de paiement, paiement et flux de téléversement de documents

Hors périmètre

Les éléments suivants sont explicitement hors périmètre et les signalements correspondants ne seront pas éligibles à une reconnaissance :

  • Attaques par déni de service (DoS / DDoS) et tests volumétriques
  • Ingénierie sociale, phishing ou attaques physiques contre les employés, sous-traitants ou clients
  • Découvertes issues de scanners automatisés sans preuve de concept fonctionnelle (par ex. en-têtes de sécurité manquants sans impact exploitable)
  • Suggestions de bonnes pratiques ou de durcissement sans vulnérabilité concrète (par ex. ajustements CSP, préférences de chiffrement TLS)
  • Signalements concernant des services tiers que nous n’exploitons pas (Stripe, IDnow, YouSign, Sanity, Vercel, Neon, Resend) — adressez-les directement au fournisseur
  • Problèmes nécessitant un accès physique à un appareil déverrouillé de la victime
  • Self-XSS ou vulnérabilités nécessitant des modifications de configuration par la victime pour être exploitables
  • Divulgation de logiciels obsolètes (CVE dans une dépendance) sans chemin d’exploitation démontré dans notre environnement

Comment signaler

Envoyez un rapport détaillé à security@ellytic.com. Incluez suffisamment d’informations pour nous permettre de reproduire et de trier le problème rapidement. Le chiffrement PGP est pris en charge sur demande.

Veuillez ne pas divulguer publiquement le problème tant que nous n’avons pas confirmé la remédiation. Nous nous engageons à une reconnaissance publique (avec votre consentement) une fois le correctif déployé.

  • URL, endpoint ou composant concerné
  • Reproduction pas à pas (commandes, payloads, comportement attendu vs. observé)
  • Évaluation d’impact — quelles données ou fonctionnalités sont menacées ?
  • Vos coordonnées et la manière dont vous souhaitez être reconnu (nom réel, pseudonyme ou anonyme)
  • Captures d’écran, vidéos ou journaux de requêtes HTTP de support (veuillez occulter les données de tiers)

Safe Harbor

Nous n’engagerons pas de poursuites civiles ni n’impliquerons les forces de l’ordre pour une recherche de bonne foi conforme à cette politique. « De bonne foi » signifie :

  • Vous faites un effort sincère pour éviter les atteintes à la vie privée, la destruction de données et l’interruption de service
  • Vous cessez les tests dès que vous avez établi l’existence d’une vulnérabilité, et la signalez
  • Vous n’accédez pas à, ne modifiez pas et ne téléchargez pas de données au-delà du strict minimum requis pour démontrer le problème
  • Vous ne ciblez que vos propres comptes de test — jamais les données d’un autre client
  • Vous n’exploitez pas le problème à des fins lucratives et ne le partagez pas avec des tiers avant la divulgation
  • Vous nous accordez un délai raisonnable (voir les délais de réponse ci-dessous) pour remédier avant toute divulgation publique

Nos délais de réponse

Nous nous efforçons de répondre aux signalements de sécurité dans le respect de ces objectifs. Les problèmes critiques prennent le pas sur le travail planifié.

  • Accusé de réception initial : sous 2 jours ouvrés
  • Tri et évaluation de la sévérité : sous 5 jours ouvrés
  • Mises à jour de statut pendant la remédiation : au moins tous les 14 jours
  • Objectif de résolution (sévérité critique / élevée) : 30 jours à compter de la confirmation
  • Objectif de résolution (sévérité moyenne / faible) : 90 jours à compter de la confirmation
  • Divulgation publique : coordonnée avec le déclarant, généralement après le déploiement du correctif

Récompenses

ELLYTIC n’exploite pas actuellement de programme de bug bounty rémunéré. Nous reconnaîtrons publiquement les signalements valides (avec votre consentement) sur cette page et dans notre hall of fame. À mesure que nous grandissons, nous prévoyons d’introduire des récompenses monétaires pour les découvertes à fort impact — les déclarants de rapports qualifiés seront invités en priorité.

Remerciements

Nous remercions tous les chercheurs qui nous ont signalé des problèmes de manière responsable. Les déclarants sont listés ici avec leur consentement. (Aucun signalement public à ce jour — soyez le premier.)

Contact

Toute correspondance relative à la sécurité doit être adressée à security@ellytic.com.

  • E-mail : security@ellytic.com
  • Lisible par machine : /.well-known/security.txt (RFC 9116)
  • Langues préférées : anglais, allemand
  • Postal : ELLYTIC Technologies UG (haftungsbeschränkt), voir Imprint pour l’adresse complète
Retour à l'Accueil