Politique de Divulgation Volontaire

Version 1.0, Mai 2026

Chez Leetchi, nous prenons la sécurité de nos systèmes, de nos services et des données que nous traitons très au sérieux.

Nous reconnaissons également le rôle essentiel joué par les chercheurs et chercheuses en sécurité dans l’amélioration de la sécurité de l’écosystème numérique.

Si vous pensez avoir identifié une vulnérabilité affectant un actif exploité par Leetchi, nous vous encourageons à nous la signaler de manière responsable.

Cette politique de divulgation volontaire décrit :

  • Les systèmes concernés ;
  • Les règles applicables aux recherches de sécurité ;
  • La procédure de signalement ;
  • Ainsi que nos engagements vis-à-vis des chercheurs agissant de bonne foi.

Champ d’application

Les actifs suivants sont couverts par cette politique.

Cette politique s’applique uniquement aux actifs détenus et exploités par Leetchi.

Règles de recherche autorisées

Nous autorisons les recherches de sécurité réalisées de bonne foi, dans le respect de cette politique et des lois applicables.

Les activités suivantes sont autorisées lorsqu’elles sont réalisées de manière raisonnable et non destructive :

  • Identification et validation de vulnérabilités ;
  • Réalisation de preuves de concept limitées ;
  • Tests manuels ou automatisés à faible impact ;
  • Collecte minimale d’informations nécessaires à la démonstration de la vulnérabilité ;
  • Analyse de configuration ou de comportement applicatif.

Nous vous demandons de limiter vos actions au strict nécessaire afin de démontrer l’existence de la vulnérabilité.

Activités interdites

Les activités suivantes ne sont pas autorisées :

  • Attaques par déni de service (DoS/DDoS) ;
  • Dégradation volontaire de disponibilité ;
  • Phishing, vishing ou toute forme d’ingénierie sociale ;
  • Accès physique à des locaux, équipements ou infrastructures ;
  • Exfiltration massive de données ;
  • Modification, suppression ou destruction de données ;
  • Persistance ou pivot vers d’autres systèmes ;
  • Dépôt de malware ou de shell ;
  • Brute force agressif ou credential stuffing ;
  • Accès à des données qui ne vous appartiennent pas au-delà du strict minimum nécessaire à la validation ;
  • Divulgation publique avant coordination avec Leetchi.

Si vous accédez accidentellement à des données sensibles, nous vous demandons :

  • D’interrompre immédiatement vos recherches ;
  • De ne pas conserver, copier ou partager ces données ;
  • De nous signaler rapidement la situation.

Procédure de signalement

Pour signaler une vulnérabilité, contactez-nous à l’adresse suivante : [email protected]

Clé PGP disponible à l’adresse : https://leetchi.com/fr/clef-pgp/

Informations utiles dans un signalement

Afin de faciliter l’analyse et la reproduction du problème, merci d’inclure autant d’informations pertinentes que possible :

  • Description de la vulnérabilité ;
  • Impact potentiel ;
  • Etapes de reproduction ;
  • Preuve de concept (PoC) ;
  • URL, endpoint, adresse IP ou composant concerné ;
  • Captures d’écran, traces ou logs utiles ;
  • Conditions nécessaires à l’exploitation ;
  • Recommandations éventuelles.

Les rapports issus uniquement d’outils automatisés sans validation ou contextualisation pourront être rejetés.

Engagements de Leetchi

Lorsqu’un signalement respecte cette politique, Leetchi s’engage à :

  • Accuser réception du signalement sous 3 jours ouvrés ;
  • Qualifier le signalement sous 7 jours ouvrés ;
  • Maintenir un échange raisonnable avec le chercheur ;
  • Traiter les informations reçues de manière confidentielle ;
  • Corriger les vulnérabilités confirmées dans des délais raisonnables.

Nous apprécions les signalements précis, responsables et exploitables.

La démarche de signalement responsable est en elle-même une contribution précieuse à la sécurité de l’écosystème. Nous la reconnaissons comme telle. Pour les vulnérabilités particulièrement significatives, une attention particulière pourra être portée à la reconnaissance de cette contribution, selon notre appréciation et les circonstances.

Safe Harbor

La couverture Safe Harbor prend effet dès l’envoi du signalement à Leetchi.

Lorsque des recherches de sécurité sont menées :

  • De bonne foi ;
  • Dans le respect de cette politique ;
  • Dans des limites raisonnables et proportionnées ;
  • Et conformément aux lois applicables ;

Leetchi considérera ces activités comme autorisées.

Dans ce cadre, Leetchi n’engagera pas de poursuites à l’encontre des chercheurs respectant cette politique et soutiendra leur démarche de bonne foi si des questions relatives à leurs activités de recherche venaient à être soulevées.

Cette protection ne couvre pas :

  • Les activités malveillantes ;
  • Les actions contraires à cette politique ;
  • Les violations des lois applicables ;
  • Les actions menées sur des systèmes hors périmètre.

Confidentialité et divulgation coordonnée

Nous demandons aux chercheurs de ne pas divulguer publiquement une vulnérabilité avant :

  • Sa correction ;
  • Ou une coordination explicite avec Leetchi.

Sauf accord spécifique, nous appliquons un délai standard de divulgation coordonnée de 90 jours à compter de la confirmation initiale de la vulnérabilité.

Lorsque cela est pertinent, la coordination peut inclure des organismes tiers spécialisés tels que :

  • CERT/CC ;
  • CERT-FR ;
  • Editeurs concernés ;
  • Prestataires impactés.

Après remédiation ou expiration du délai convenu, une divulgation technique raisonnable et factuelle pourra être envisagée en coordination avec Leetchi.

Vulnérabilités hors périmètre

Les catégories suivantes sont généralement considérées comme hors périmètre :

  • Absence de headers de sécurité sans impact démontré ;
  • Versions logicielles exposées ;
  • Configuration TLS faible sans exploitabilité démontrée ;
  • Recommandations SPF, DKIM ou DMARC ;
  • Clickjacking sans scénario réaliste ;
  • Fichiers publics attendus (robots.txt, bannières, pages d’erreur, etc.) ;
  • Problèmes purement théoriques ou non reproductibles ;
  • Rapports issus uniquement de scanners automatisés ;
  • CSRF sur contenus non sensibles ou non authentifiés ;
  • Enumération d’utilisateurs à faible impact ;
  • Rapports liés à des navigateurs obsolètes ;
  • Problèmes nécessitant un accès physique ;
  • Vulnérabilités affectant des services tiers non exploités par Leetchi.

Cette liste n’est pas exhaustive.

Mentions légales

Cette politique peut être modifiée à tout moment sans préavis. La version en vigueur est celle publiée sur cette page.

Elle ne constitue pas une autorisation générale de tester les systèmes de Leetchi en dehors du cadre défini ci-dessus.

Les chercheurs restent responsables du respect :

  • Des lois applicables ;
  • Des réglementations locales ;
  • Des droits des tiers ;
  • Ainsi que des obligations relatives à la protection des données personnelles.

Le droit français est applicable à cette politique.

Security.txt

Le fichier security.txt officiel de Leetchi est disponible à l’adresse : https://leetchi.com/.well-known/security.txt

À propos

  • Qui sommes-nous ?
  • Sécurité
  • Presse
  • Offres d’emploi

Pour vous

  • Notre newsletter
  • Centre d'aide
  • Nous contacter
  • Contrat type de don
  • Conditions générales d’utilisation
  • Mentions légales
  • Politique de confidentialité
  • VDP
  • Politique de cookies
  • Plan du site