Politique de sécurité
Nous prenons au sérieux la sécurité de ce site et de ses utilisateurs. Cette page décrit comment signaler une vulnérabilité et ce à quoi nous nous engageons en retour.
Signalement d'une vulnérabilité
Si vous découvrez une vulnérabilité de sécurité sur ce site ou son infrastructure de support, veuillez la signaler de manière responsable. N'ouvrez pas de problème GitHub public pour les vulnérabilités de sécurité.
Méthode préférée : Envoyez un e-mail à security@eucybersecurity.org avec une description de la vulnérabilité, les étapes pour la reproduire et l'impact potentiel. Nous accuserons réception dans les 48 heures.
Vous pouvez également consulter notre security.txt pour
les informations de contact de divulgation lisibles par machine.
Divulgation coordonnée
Nous suivons une politique de divulgation coordonnée. Nous vous demandons de nous accorder un délai raisonnable pour enquêter et corriger avant toute divulgation publique — généralement 90 jours, sauf si la vulnérabilité est activement exploitée.
Nous n'engagerons pas de poursuites judiciaires contre les chercheurs de bonne foi qui signalent des vulnérabilités conformément à cette politique.
Périmètre
Dans le périmètre de divulgation responsable :
- Le site web eucybersecurity.org et ses sous-domaines
- Les points de terminaison de l'API publique
- L'authentification et la gestion des sessions
- Les vulnérabilités d'injection (SQLi, XSS, SSRF, etc.)
Hors périmètre :
- Les attaques par déni de service
- L'ingénierie sociale du personnel
- Les attaques physiques
En-têtes de sécurité
Ce site sert des en-têtes de sécurité stricts sur toutes les réponses, incluant Content-Security-Policy (basé sur un nonce), HSTS avec préchargement, X-Frame-Options: DENY et Permissions-Policy.