Aller au contenu
shadgramers

Divulgation Responsable

Politique de coordinated vulnerability disclosure — ShadGramers

Dernière mise à jour : mai 2026

Objet

Cette politique définit les conditions dans lesquelles ShadGramers accepte les signalements de vulnérabilités de sécurité de la part de chercheurs externes, et les engagements que nous prenons en retour.

Clause de Safe Harbor

ShadGramers s’engage à ne pas engager de poursuites judiciaires civiles ou pénales contre tout chercheur en sécurité qui respecte les conditions ci-dessous.

Cette clause s’applique au regard du droit français (Code pénal art. 323-1 — STAD) et du droit européen (Directive NIS2, RGPD). Elle ne saurait valoir dans des juridictions où la protection légale du chercheur ne peut être garantie contractuellement.

Conditions applicables au chercheur

La protection Safe Harbor s’applique uniquement si le chercheur :

  • Signale la vulnérabilité à ShadGramers avant toute divulgation publique (responsible disclosure).
  • N'exploite pas la vulnérabilité au-delà du strict nécessaire pour démontrer son existence et son impact.
  • N'accède pas aux données de tiers (clients ShadGramers, utilisateurs finaux) au-delà de ce qui est strictement nécessaire.
  • Ne détruit, ne modifie pas et ne retient pas les données auxquelles il a eu accès.
  • Donne à ShadGramers un délai raisonnable (minimum 5 jours ouvrés pour l'accusé de réception, 90 jours pour la correction) avant divulgation publique.
  • Agit de bonne foi, sans motivation malveillante, sans extorsion, sans revente de la vulnérabilité.
  • Ne mène pas d'attaques de type DoS/DDoS, d'ingénierie sociale, ou d'attaques contre les systèmes tiers.

Engagements de ShadGramers

  • Accuser réception du signalement dans un délai maximum de 5 jours ouvrés.
  • Informer le chercheur du statut de l'investigation dans un délai de 15 jours ouvrés.
  • Ne pas divulguer l'identité du chercheur sans son accord explicite.
  • Corriger les vulnérabilités identifiées dans un délai raisonnable (critique : 30 jours, haute : 60 jours, moyenne : 90 jours).
  • Verser la récompense correspondante (cf. Bug Bounty) dans les 30 jours suivant la correction.
  • Citer le chercheur dans notre Hall of Fame (sauf demande d'anonymat).

Cadre légal applicable

France— Code pénal art. 323-1 à 323-7 (accès frauduleux à un STAD). L’article 323-1 alinéa 4 (introduit par la LPM 2024) prévoit une exemption de responsabilité pour les personnes qui notifient de bonne foi l’existence d’une vulnérabilité à l’ANSSI et à l’entité concernée. ShadGramers encourage ce canal et ne considère pas un signalement coordonné comme un accès non autorisé.

Union européenne— Directive NIS2 (UE 2022/2555) encourage les États membres à mettre en place des mécanismes de divulgation coordonnée. Cette politique est alignée avec les recommandations de l’ENISA (European Union Agency for Cybersecurity) sur la coordinated vulnerability disclosure.

RGPD — Si votre recherche implique des données personnelles, vous êtes tenu de ne pas les stocker, copier ou transmettre. Signalez-nous immédiatement toute exposition involontaire.

Ce qui reste hors cadre

ShadGramers se réserve le droit de poursuivre tout individu qui :

  • Accède à des données client réelles sans stricte nécessité démontrée.
  • Revend ou tente de revendre la vulnérabilité à un tiers.
  • Utilise la vulnérabilité à des fins personnelles ou commerciales non autorisées.
  • Pratique l'extorsion ou la menace de divulgation pour obtenir une rançon.
  • Enfreint les règles de cette politique après en avoir été explicitement informé.

Contact

Pour tout signalement : security@shadgramers.tech
Pour les questions légales relatives à cette politique : legal@shadgramers.tech

Voir le programme Bug Bounty complet (récompenses, périmètre, processus)