Bug Bounty

Détectez, signalez, soyez récompensé

Participez à notre Programme Bug Bounty.

Que vous soyez un expert chevronné en cybersécurité ou un passionné curieux et assidu, nous serons ravis de collaborer avec vous pour renforcer la fiabilité et la confidentialité de nos services.

Si vous découvrez une vulnérabilité dans l’un de nos systèmes, nous vous invitons à nous en informer rapidement et de manière responsable, afin que nous puissions corriger le problème sans délai.

Nous pourrons vous récompenser en fonction de l’impact et de la pertinence de votre découverte.

Pourquoi participer ?

En participant à notre programme Bug Bounty, vous contribuez directement à la sécurité de milliers d’utilisateurs en nous aidant à identifier et corriger les vulnérabilités avant qu’elles ne soient exploitées. Votre travail peut donner lieu à une reconnaissance publique et, pour les rapports valides, à une récompense financière. De plus, notre politique de safe harbor garantit que les chercheurs agissant de bonne foi et dans le respect de nos règles bénéficient d’une protection et d’une collaboration transparente avec notre équipe sécurité.

Les informations techniques

Règles de bonne conduite

Pour que votre signalement soit pris en compte et éligible à notre programme de Bug Bounty:

  • Agissez de bonne foi : n’exploitez pas, n’exposez pas et ne publiez pas la vulnérabilité.

  • Ne réalisez pas d’actions destructrices (suppression, altération de données).

  • Fournissez une preuve de concept reproductible et claire (étapes, environnement, captures/vidéos…).

  • Respectez la vie privée : ne récupérez ni ne publiez de données personnelles au-delà de l’essentiel pour démontrer l’impact.

Périmètre

Les cibles couvertes par le programme incluent, sauf mention contraire :

  • nos domaines et sous-domaines officiels listés ci-dessous.

  • les applications web et APIs publiques.

  • les composants d’infrastructure publics (CDN, endpoints exposés, etc.).

Hors périmètre

Sont hors-périmètre et ne donnent pas droit à récompense :

  • attaques sur des comptes utilisateurs réels, ou exfiltration de données personnelles.

  • tests de déni de service (DoS/DDoS).

  • vulnérabilités déjà connues et déjà corrigées.

  • éléments nécessitant un accès physique aux serveurs.

  • services tiers non gérés par nous.

Critères d’évaluation

La récompense dépendra principalement de :

  • la gravité (impact sur confidentialité, intégrité, disponibilité).

  • l’exploitabilité (facilité d’exploitation).

  • l’ampleur (nombre d’utilisateurs affectés).

  • la qualité du rapport (PoC clair, étapes reproductibles).

Délais et communication
  • Accusé de réception : généralement sous 48 heures.

  • Évaluation initiale : souvent sous 7 jours ouvrés, variable selon la complexité.

Nous nous engageons à vous tenir informé des étapes clés et à communiquer de manière transparente sur l’état d’avancement.

Confidentialité & divulgation publique

Nous demandons aux chercheurs de ne pas divulguer publiquement les vulnérabilités avant qu’elles ne soient corrigées et que nous ayons confirmé la divulgation coordonnée. Les divulgations prématurées peuvent rendre le rapport non éligible à une récompense.

Protection légale

Si vous agissez de bonne foi et respectez les règles énoncées, nous nous engageons à ne pas engager de poursuites liées aux tests autorisés par ce programme. Cette politique ne s’applique pas en cas d’actes malveillants, d’exploitation, ou de violation des lois applicables.

Les informations techniques