Politique de sécurité
Dernière mise à jour : 2026-05-13
Nous prenons la sécurité au sérieux. Cette politique définit comment signaler une vulnérabilité, nos engagements en retour et le périmètre d'application. Les métadonnées canoniques pour les chercheurs en sécurité se trouvent également sur /.well-known/security.txt (RFC 9116).
1. Comment signaler
Envoyez un e-mail à [email protected] - clé PGP sur demande - ou ouvrez un rapport privé sur https://hackerone.com/elido. Les deux voies atteignent la même file d'attente d'astreinte. Veuillez inclure les étapes de reproduction, l'URL/endpoint concerné et l'impact observé. Ne publiez pas de détails publiquement avant que nous ayons coordonné un correctif.
2. SLA de réponse
Première réponse : sous 24 heures. Évaluation avec un niveau de sévérité : sous 5 jours ouvrés. Objectif de résolution : 14 jours pour High/Critical, 30 jours pour Medium/Low. Si un correctif nécessite plus de temps (ex: attente d'une dépendance tierce), nous vous tiendrons informé chaque semaine.
3. Dans le périmètre
elido.app (marketing), app.elido.app (dashboard), api.elido.app (REST + GraphQL), elido.me / f.elido.me / s.elido.me / b.elido.me (paliers de redirection), docs.elido.app, les applications Elido iOS et Android, les packages npm elidoapp/elido-*, et le serveur Elido MCP (packages/mcp-server).
4. Hors périmètre
Services tiers que nous utilisons (notre couche d'authentification et notre fournisseur d'identité, notre fournisseur de chat d'assistance, Cloudflare, Anthropic, monobank Plata, Coinbase Commerce, WorkOS, Resend) - veuillez leur signaler directement. Attaques par force brute sur des endpoints limités en débit (nous les testons nous-mêmes). Ingénierie sociale envers le personnel d'Elido. Attaques volumétriques / DoS. Découvertes dépendant de l'installation par la victime d'un logiciel malveillant en dehors d'Elido. Redirection ouverte via le lien court lui-même - c'est le service.
5. Sphère de sécurité (Safe harbour)
Si vous faites un effort de bonne foi pour vous conformer à cette politique, nous n'engagerons pas de poursuites judiciaires et travaillerons avec vous pour comprendre et résoudre le problème. Spécifiquement : tests sur des comptes vous appartenant, pas d'exfiltration de données de production, pas d'impact sur les autres clients, et pas de divulgation publique avant que nous ayons déployé un correctif.
6. Récompenses
Elido gère un programme de bug bounty rémunéré sur HackerOne. Récompenses indicatives (USD) : Critical $3000, High $1500, Medium $500, Low $200, Trivial l'équivalent de $50 en goodies. Le montant final dépend de l'impact, de la nouveauté et de la qualité du rapport. Nous listons également les divulgations valides non rémunérées sur /legal/security-acknowledgments avec votre consentement.
7. Remerciements
Nous créditons publiquement les chercheurs qui nous aident sur /legal/security-acknowledgments - pseudonyme ou nom réel à votre choix, et seulement après que le problème soit corrigé.