Aller au contenu

Politique de Sécurité

Dernière mise à jour : 2026-05-21.

1. Périmètre

La présente Politique explique comment signaler des problèmes de sécurité concernant FreedivingHome (freedivinghome.com) et résume les catégories de mesures de sécurité protégeant le Service.

Pour les détails relatifs au traitement des données personnelles, se reporter à la Politique de confidentialité. Pour les obligations de l'Utilisateur en matière de sécurité du compte, se reporter aux Conditions générales d'utilisation, Section 5.

La présente Politique n'accorde pas l'autorisation d'effectuer des tests en dehors du périmètre défini ci-dessous.

2. Signalement d'une vulnérabilité

Contact : [email protected]

Veuillez préfixer l'objet du message avec [SECURITY].

Ce qu'il faut inclure

Veuillez inclure :

  • une description claire du problème et de son impact potentiel ;
  • les étapes nécessaires à sa reproduction, y compris toutes les conditions préalables ;
  • une preuve de concept (proof of concept) minimale, le cas échéant ;
  • l'URL, le point d'accès, la fonctionnalité ou le parcours utilisateur concernés ;
  • si des données personnelles, des données de tiers ou une interruption du Service ont été rencontrées ;
  • vos coordonnées et, le cas échéant, le nom ou le pseudonyme que vous souhaitez voir utilisés pour la mention de remerciement.

Veuillez ne pas inclure de données personnelles inutiles, de secrets, d'identifiants, d'extraits de bases de données, de captures d'écran de données d'autres utilisateurs, ni de matériel d'exploitation excédant ce qui est strictement nécessaire à la démonstration du problème.

Signalements sensibles

Si votre signalement contient des informations sensibles, indiquez-le dans votre premier message ; un moyen de communication sécurisé sera fourni lorsqu'il est disponible.

Ne publiez pas de détails d'exploitation, de code de preuve de concept ou de données de tiers avant l'achèvement de la divulgation coordonnée.

Objectifs de réponse

Nous visons :

  • un accusé de réception des nouveaux signalements dans un délai de 5 jours ouvrés ;
  • une évaluation initiale dans un délai de 20 jours ouvrés ;
  • le maintien d'une information au rapporteur sur les avancées substantielles, lorsque cela est praticable.

Ces délais constituent des objectifs de réponse, et non des niveaux de service garantis. Les délais de remediation dépendent de la gravité, de l'exploitabilité, de l'impact, des mesures d'atténuation disponibles et des contraintes opérationnelles.

Divulgation coordonnée

Nous vous demandons de nous donner une opportunité raisonnable d'investigation et de remediation avant la divulgation publique.

Notre fenêtre de coordination par défaut est de 90 jours calendaires après notre confirmation que le signalement décrit une vulnérabilité valide, sauf si :

  • nous convenons d'un calendrier différent avec vous ;
  • une divulgation anticipée est nécessaire pour protéger les utilisateurs ou le public ;
  • le problème est déjà activement exploité ou divulgué publiquement ;
  • des obligations légales ou réglementaires imposent une approche différente.

Le cas échéant, nous coordonnerons le contenu de la divulgation avec vous et vous créditerons avec votre permission.

3. Protection de la recherche en bonne foi (safe harbour)

Nous accueillons favorablement la recherche en sécurité menée de bonne foi.

Si vous respectez la présente Politique et maintenez vos tests dans le périmètre défini à la Section 4, nous traiterons vos tests comme autorisés aux fins de nos systèmes et n'engagerons pas d'action civile ni de plainte pénale à votre encontre pour ces tests.

Cet engagement vise à réduire l'incertitude juridique pour la recherche en bonne foi, notamment au regard du droit italien sur l'accès non autorisé aux systèmes informatiques. Il ne lie pas les tiers et ne prévient pas les actions requises par la loi.

Pour bénéficier de cet engagement, vous devez :

  • agir de bonne foi et éviter de causer un préjudice au Service, à ses utilisateurs et aux tiers ;
  • tester uniquement les systèmes et fonctionnalités dans le périmètre ;
  • utiliser uniquement des comptes vous appartenant ou pour lesquels vous disposez d'une autorisation explicite ;
  • accéder, consulter ou conserver uniquement les informations strictement nécessaires à la démonstration du problème ;
  • cesser les tests et nous en informer immédiatement en cas de rencontre avec des données personnelles, des secrets, des identifiants ou des données appartenant à d'autres utilisateurs ;
  • ne pas conserver, copier, divulguer, modifier, supprimer, corrompre ni exfiltrer de données ;
  • ne pas perturber ni dégrader le Service ;
  • ne pas tenter d'attaques par déni de service, d'inondation de trafic, de tests destructifs, de persistance, de déploiement de logiciels malveillants ou de mouvement latéral ;
  • ne pas recourir à l'ingénierie sociale, au phishing, à la coercition, à la corruption, à l'usurpation d'identité ni à l'intrusion physique ;
  • ne pas cibler les utilisateurs, le personnel, les sous-traitants, les fournisseurs ou les prestataires tiers ;
  • respecter le droit italien, européen et local applicable.

Les activités en dehors de la présente Politique ne sont pas autorisées.

4. Périmètre des tests

Dans le périmètre

Sont dans le périmètre :

  • le service public FreedivingHome à l'adresse freedivinghome.com ;
  • les sous-domaines expressément indiqués comme étant dans le périmètre dans le fichier security.txt publié, le cas échéant ;
  • les problèmes d'authentification, d'autorisation, de session et de contrôle d'accès ;
  • la gestion côté serveur des entrées, des sorties et des téléversements ;
  • les vulnérabilités de la couche applicative ayant un impact démontré, y compris les failles de contrôle d'accès, les failles d'injection, les attaques XSS, CSRF, SSRF, les références d'objets directs non sécurisées (IDOR) et les failles de logique métier.

Hors du périmètre

Sont hors du périmètre :

  • les tests de déni de service, de stress, de charge ou volumétriques ;
  • l'intrusion physique ou au niveau du réseau ;
  • l'ingénierie sociale, le phishing ou le ciblage des utilisateurs, du personnel, des sous-traitants ou de tiers ;
  • les tests sur des services, infrastructures, fournisseurs ou plateformes de tiers ;
  • les problèmes affectant uniquement des navigateurs non pris en charge, des appareils rootés ou jailbreakés, ou des réseaux hostiles contrôlés par le testeur ;
  • les signalements basés uniquement sur la sortie de scanners automatisés sans impact démontré ;
  • le self-XSS sans chemin d'attaque réaliste ;
  • les en-têtes de sécurité manquants ou non optimaux sans chemin d'exploitation démontré ;
  • le clickjacking ou les problèmes de framing sans action sensible ou impact démontré ;
  • les observations sur les rate limits sans scénario d'abus démontré ;
  • les revendications d'énumération d'utilisateurs sans impact démontré en matière de sécurité ou de vie privée ;
  • les problèmes d'authentification e-mail sur des domaines non utilisés pour l'envoi de courrier ;
  • les vulnérabilités de tiers récemment divulguées déjà en cours d'examen ou de remediation ;
  • les problèmes théoriques sans impact pratique sur FreedivingHome ou ses utilisateurs.

En cas de doute sur l'appartenance au périmètre, veuillez demander au préalable.

5. Posture de sécurité

Les mesures ci-dessous sont résumées à un haut niveau. Les détails d'implémentation spécifiques sont intentionnellement omis de la présente page publique.

Authentification et accès

  • Les mots de passe sont stockés au moyen d'une fonction de hachage avec sel, sélectionnée et configurée pour résister aux attaques hors ligne.
  • La vérification de l'adresse e-mail est requise pour l'activation du compte.
  • Des fonctionnalités supplémentaires de protection du compte peuvent être mises à disposition lorsqu'elles sont prises en charge.
  • L'authentification et d'autres actions sensibles sont protégées par des limites de fréquence et des contrôles antiabus.
  • L'accès aux systèmes de production est limité aux opérateurs autorisés, protégé par des identifiants individuels et des contrôles d'authentification supplémentaires.
  • L'accès privilégié est limité à ce qui est nécessaire à l'exploitation, à la maintenance, à la sécurité et à la réponse aux incidents.

Transport et stockage

  • Le trafic vers le Service est acheminé via TLS.
  • Les requêtes HTTP en clair sont redirigées vers HTTPS.
  • Les données confidentielles et les sauvegardes sont protégées au repos.
  • Les secrets sont conservés en dehors du contrôle de version et font l'objet d'une rotation lorsque cela est approprié.

Sécurité applicative

  • L'application utilise la validation des entrées, l'encodage des sorties, la validation des requêtes et des modèles d'accès aux données sécurisés.
  • Les fichiers téléversés sont soumis à un filtrage automatisé antimalware avant d'être mis à disposition.
  • Une Content-Security-Policy et des en-têtes de sécurité de navigateur supplémentaires sont configurés pour réduire les chemins d'attaque les plus courants.
  • Les dépendances et les composants de la plateforme sont surveillés au regard des avis de sécurité et mis à jour en fonction du risque.

Journalisation et supervision

  • Les événements opérationnels et de sécurité sont journalisés pour soutenir la détection des abus, le dépannage et l'investigation des incidents.
  • Les journaux se limitent à ce qui est nécessaire à ces finalités.
  • L'accès aux journaux est restreint aux opérateurs autorisés.

Sauvegardes et reprise

  • Les sauvegardes sont chiffrées et gérées séparément des accès de production.
  • L'accès aux sauvegardes est restreint aux opérateurs autorisés.
  • Les procédures de reprise sont documentées et testées périodiquement de manière non productive lorsque cela est praticable.

Réponse aux incidents

  • Les incidents de sécurité sont gérés selon un processus interne couvrant tri, confinement, préservation des preuves, remediation, communication et reprise.
  • Lorsque les seuils légaux sont atteints, les notifications aux régulateurs ou aux utilisateurs concernés seront effectuées conformément au droit applicable, y compris aux articles 33 et 34 du RGPD lorsque cela est pertinent.

6. Remerciements

Avec votre permission, nous pouvons publier le nom ou le pseudonyme des chercheurs qui divulguent de manière responsable des vulnérabilités valides, jusque-là inconnues et exploitables.

La reconnaissance est discrétionnaire et peut être refusée lorsqu'un signalement est abusif, dupliqué, hors du périmètre, illicite ou non conforme à la présente Politique.

Nous n'exploitons pas actuellement de programme de bug bounty rémunéré. Aucune récompense monétaire n'est offerte sauf accord exprès et écrit préalable aux tests.

7. Informations lisibles par machine

Un fichier security.txt lisible par machine est publié à l'adresse : https://freedivinghome.com/.well-known/security.txt

Le fichier est servi sur un transport chiffré et maintenu à jour. Il inclut au minimum les informations de contact et de politique appropriées et peut inclure des champs supplémentaires tels que l'emplacement canonique, la date d'expiration, la langue préférée, le chiffrement et les remerciements, lorsque cela est opérationnellement pris en charge.

En cas d'incohérence entre la présente page et le fichier security.txt, la présente page prévaut, sauf si l'incohérence est manifestement due à une absence de mise à jour de la présente page.

8. Modifications de la présente Politique

La présente Politique peut être mise à jour pour refléter des changements juridiques, opérationnels ou de sécurité.

Les mises à jour matérielles seront datées et résumées sur la présente page lorsque cela est praticable.

9. Contact

[email protected]