Politique de divulgation coordonnée de vulnérabilités

🇬🇧 English version

Rix prend la sécurité de ses infrastructures et de celles de ses clients très au sérieux. Nous encourageons les chercheurs en sécurité et la communauté à nous signaler les vulnérabilités qu'ils pourraient découvrir de manière responsable.

Cette politique s'inspire des standards ISO/IEC 29147 et ISO/IEC 30111, ainsi que des recommandations OWASP et CISA.

Périmètre

Dans le périmètre

Cette politique s'applique aux services et infrastructures opérés par Rix :

Sites web : *.rix.fr
Infrastructures et APIs Rix
Services hébergés pour nos clients uniquement avec autorisation écrite préalable du client

Hors périmètre

Infrastructures de nos clients (sans autorisation écrite explicite)
Services tiers que nous utilisons mais n'opérons pas directement
Systèmes de nos partenaires ou fournisseurs

Comment signaler une vulnérabilité

Canal de communication sécurisé

Email chiffré (recommandé) : security@rix.fr

Clé PGP : 67B08D2BE9C8ACC2C40D28F1F69D39C94B03BD79
Nous acceptons les rapports anonymes

Fichier security.txt : https://www.rix.fr/.well-known/security.txt

Informations à fournir

Pour nous permettre de traiter efficacement votre rapport, merci d'inclure :

Description détaillée de la vulnérabilité
Étapes de reproduction (PoC)
Impact potentiel et criticité estimée
Versions affectées si connues
Toute information technique pertinente (logs, captures d'écran, requêtes HTTP, etc.)
Vos coordonnées pour un échange (optionnel, les rapports anonymes sont acceptés)

Safe Harbor - Protection légale

Si vous agissez de bonne foi et respectez cette politique durant votre recherche en sécurité, nous considérons votre recherche comme autorisée et nous nous engageons à :

Ne pas initier de poursuites judiciaires à votre encontre
Travailler avec vous de manière collaborative pour comprendre et résoudre le problème rapidement
Reconnaître publiquement votre contribution si vous le souhaitez

Cette protection s'applique uniquement si vous respectez les règles définies ci-dessous.

Ce que nous attendons de vous

Comportements autorisés

Notifier Rix rapidement de toute vulnérabilité découverte
Fournir suffisamment de détails pour nous permettre de reproduire et corriger la vulnérabilité
Agir de bonne foi et ne pas exploiter la vulnérabilité au-delà de ce qui est strictement nécessaire pour la démonstration
Respecter la confidentialité des données

Comportements interdits

Accès aux données : N'accédez pas, ne modifiez pas, ne supprimez pas et ne stockez pas de données qui ne vous appartiennent pas
Déni de service : N'effectuez aucun test susceptible d'impacter la disponibilité des services (DoS, DDoS, stress tests)
Ingénierie sociale : Ne testez pas nos collaborateurs via phishing, pretexting ou autres techniques de manipulation
Atteintes à la vie privée : Ne violez pas la confidentialité ou la vie privée de nos utilisateurs ou collaborateurs
Divulgation publique prématurée : Ne divulguez pas publiquement la vulnérabilité avant que nous ayons eu le temps de la corriger et que nous vous ayons donné notre accord

Ce que vous pouvez attendre de nous

Délais de réponse

Étape	Délai
Accusé de réception	3 jours ouvrés
Évaluation initiale de la criticité	5 jours ouvrés
Communication régulière	Mise à jour au moins tous les 15 jours

Délais de correction cibles

Criticité	Délai de correction cible	Workaround
Critique	7 jours	Si possible, communiqué immédiatement
Élevée	30 jours	Si nécessaire
Moyenne	90 jours	-
Faible	180 jours	-

Note : Ces délais sont des objectifs. La complexité technique peut nécessiter des ajustements que nous communiquerons.

Nos engagements

Transparence : Communication régulière sur l'avancement de la correction
Reconnaissance : Mention publique de votre contribution (si vous le souhaitez) une fois la vulnérabilité corrigée
Bonne foi : Aucune action légale ne sera entreprise si vous respectez cette politique
CVE : Demande d'identifiant CVE pour les vulnérabilités éligibles
Avis public : Publication d'un avis de sécurité une fois la vulnérabilité corrigée

Divulgation coordonnée

Nous privilégions une approche de divulgation coordonnée :

Rapport privé : Vous nous signalez la vulnérabilité de manière confidentielle
Accusé de réception : Nous confirmons la réception sous 3 jours ouvrés
Évaluation : Nous évaluons la criticité et l'impact
Correction : Nous développons et déployons un correctif
Validation : Nous vous informons de la correction et vous invitions à valider
Divulgation publique : Vous pouvez publier votre découverte après 90 jours ou accord mutuel

Délai de non-divulgation : Nous vous demandons de ne pas divulguer publiquement la vulnérabilité pendant 90 jours à compter de votre rapport initial, ou jusqu'à ce que le correctif soit déployé et validé (au premier des deux).

Si vous estimez que nous ne traitons pas votre rapport avec le sérieux requis, vous pouvez nous le signaler. En dernier recours, après 90 jours, vous êtes libre de publier selon votre jugement.

Programme de bug bounty

Nous n'avons actuellement pas de programme de bug bounty formel avec récompenses financières.

Cependant, nous reconnaissons publiquement les contributions des chercheurs qui le souhaitent sur :

Notre blog technique
Les avis de sécurité publiés
Nos réseaux sociaux

Hors scope / Exclusions

Les éléments suivants ne sont pas considérés comme des vulnérabilités dans le cadre de cette politique :

Problèmes sans impact démontré

Absence de best practices sans impact sécurité démontré (ex : absence de DNSSEC, headers CSP non optimaux)
SPF/DMARC/DKIM mal configurés sans exploitation démontrée
Security headers manquants sans exploitation fonctionnelle
Énumération d'utilisateurs ou d'emails sans exploitation démontrée
Vulnérabilités théoriques sans PoC fonctionnel

Problèmes hors périmètre technique

Vulnérabilités dans des versions obsolètes de navigateurs (non supportées par l'éditeur)
Clickjacking sur des pages sans action sensible
Attaques nécessitant un accès physique à la machine
Attaques nécessitant des privilèges admin déjà obtenus
Open redirect sans impact démontré (pas de vol de credentials, pas de phishing crédible)

Problèmes d'ingénierie sociale

Résultats de tests de phishing
Résultats de tests d'ingénierie sociale

Critères de criticité

Nous évaluons la criticité selon la méthodologie CVSS v3.1 en tenant compte de :

Critique : Exécution de code à distance sans authentification, accès complet aux données
Élevée : Accès non autorisé à des données sensibles, élévation de privilèges significative
Moyenne : Accès limité aux données, contournement de mécanismes de sécurité
Faible : Fuite d'informations mineures, problèmes de configuration

Historique des divulgations

Nous publierons ici les vulnérabilités corrigées de manière coordonnée avec les chercheurs.

Aucune divulgation publique à ce jour.

Questions et contact

Pour toute question concernant cette politique : security@rix.fr

Dernière mise à jour : 30 janvier 2026
Version : 1.0

Cette politique peut être modifiée à tout moment. Nous publierons les mises à jour sur cette page avec la date de révision.