DIVULGATION DE VULNÉRABILITÉS // CHIMERASCOPE

Politique de divulgation des vulnérabilités

Nous accueillons la recherche en sécurité responsable. Si vous avez découvert une vulnérabilité potentielle dans nos produits ou services, veuillez le signaler à l'aide du formulaire sécurisé ci-dessous.

Portée

Cette politique s'applique à tous les produits, services et infrastructures gérés par Gexiro Global Enterprises Ltd sous la marque ChimeraScope, notamment :

chimerascope.com — site web principal et page d'accueil
Sous-domaines et services associés — tout actif exposé sur Internet géré sous le domaine chimerascope.com

Comment signaler

Pour signaler une vulnérabilité de sécurité, utilisez le formulaire de soumission sécurisé en bas de cette page. Sélectionnez « Rapport de vulnérabilité » comme type de soumission et incluez autant de détails que possible.

Pour les communications chiffrées, notre clé PGP publique est disponible à l'adresse suivante :

Clé PGP publique : chimerascope.com/.well-known/pgp-key.txt
Empreinte : EED5 18E3 A297 106F 2CBA 1DA4 5DF7 605B F6D9 B6EA
Algorithme : RSA-4096
Expire le : 2028-04-24

À inclure

Détails de la vulnérabilité

Une description claire de la vulnérabilité, incluant le produit, le composant ou l'URL affectés. Précisez le type de vulnérabilité (ex. : injection, contournement d'authentification, divulgation d'informations).

Étapes de reproduction

Instructions détaillées pour reproduire le problème. Incluez les outils, scripts ou charges utiles utilisés. Les captures d'écran ou enregistrements d'écran sont les bienvenus.

Évaluation de l'impact

Votre évaluation de l'impact potentiel, incluant les données, utilisateurs ou systèmes affectés. Si possible, incluez un score CVSS ou une estimation de gravité.

Vos coordonnées

Un moyen de vous contacter pour des questions complémentaires. Nous respectons votre vie privée et ne partagerons vos coordonnées qu'avec votre consentement. Les rapports anonymes sont acceptés.

Nos engagements

Réception — 72 heures

Nous réceptionnerons votre rapport dans un délai de 72 heures et vous fournirons un numéro de suivi pour votre soumission.

Évaluation — 14 jours

Notre équipe de sécurité évaluera le rapport, confirmera la vulnérabilité et déterminera sa gravité. Nous vous tiendrons informé(e) de notre avancement.

Réparation — 90 jours

Nous visons à réparer les vulnérabilités confirmées dans un délai de 90 jours après confirmation. Les vulnérabilités critiques seront priorisées pour une résolution plus rapide.

Divulgation — Coordonnée

Nous pratiquons la divulgation coordonnée. Nous travaillerons avec vous pour convenir d'un calendrier de divulgation. La divulgation publique n'aura pas lieu avant qu'une correction ne soit disponible, sauf si la vulnérabilité est déjà activement exploitée.

Refuge légal

Nous ne poursuivrons pas d'actions légales contre les chercheurs en sécurité qui découvrent et signalent des vulnérabilités de bonne foi, à condition qu'ils :

Activités protégées

Agir de bonne foi pour éviter tout préjudice aux utilisateurs et systèmes
Éviter d'accéder, de modifier ou de supprimer les données appartenant à d'autres utilisateurs
Rapporter les découvertes rapidement via ce processus de divulgation
Accorder un délai raisonnable pour la remédiation avant toute divulgation publique
Ne pas utiliser les découvertes à des fins personnelles au-delà de la reconnaissance

Hors du périmètre

Ingénierie sociale ou attaques par hameçonnage contre les employés ou utilisateurs
Attaques de déni de service ou épuisement des ressources
Tests de sécurité physique
Scans automatisés générant un trafic excessif
Accès ou exfiltration de données utilisateur
Tests sur des systèmes non mentionnés dans le périmètre ci-dessus

Reconnaissance

Nous croyons en la reconnaissance des contributions des chercheurs en sécurité qui nous aident à améliorer notre posture de sécurité. Avec votre consentement, nous remercierons votre contribution sur notre page d'Avis de sécurité. Nous n'exploitons pas actuellement un programme de récompenses pour bugs rémunéré.

Mises à jour de la politique

Cette politique peut être mise à jour de temps en temps. La version la plus récente est toujours disponible à cette URL. Dernière mise à jour : avril 2026.

Référence

security.txt (RFC 9116) : chimerascope.com/.well-known/security.txt
Clé publique PGP : chimerascope.com/.well-known/pgp-key.txt
Avis de sécurité : chimerascope.com/security-advisories/

Signaler une vulnérabilité

Utilisez le formulaire sécurisé ci-dessous pour soumettre vos découvertes. Pour les communications chiffrées, notre clé PGP publique est disponible pour téléchargement.

Submit Vulnerability Report

All submissions are treated as confidential. We will acknowledge receipt within 72 hours.