— Sécurité

Divulgation responsable.

Dernière mise à jour : juin 2026

Tu as trouvé une faille ? Merci. Écris à [email protected] avant toute publication. On répond sous 5 jours ouvrés et on protège les chercheurs qui agissent de bonne foi (voir Safe Harbor ci-dessous).

1. Périmètre

In-scope

vectoria.ma et ses sous-domaines de production

En cas de doute sur le statut d'un sous-domaine, demande-nous par email avant de tester.

Out-of-scope

Attaques de déni de service (DDoS, volumétrique, L3/L4) — déjà mitigées en amont
Ingénierie sociale, phishing, attaques physiques
Services tiers utilisés par Vectoria — voir leurs politiques de divulgation respectives
Vulnérabilités dépendant d'un accès root ou physique à la machine de la victime
Configurations DNS, SPF, DMARC, DKIM dépendant de tiers (registrar, fournisseur email)
Best-practices sans impact démontrable (ex. absence d'un header non-critique)

2. Comment signaler

Email : [email protected]

Sujet recommandé : [SECURITY] <courte description>

Inclure dans le rapport :

Description claire de la vulnérabilité et de son impact
Étapes de reproduction (idéalement minimal, sans donner accès à des données tierces)
Version, navigateur ou environnement utilisé
Toute capture d'écran ou trace réseau pertinente
Si tu souhaites être crédité publiquement (voir Acknowledgments)

Délais cibles :

Accusé de réception : 5 jours ouvrés
Évaluation initiale + classification de sévérité : 10 jours ouvrés
Correctif déployé : selon la sévérité (24 h pour critique, jusqu'à 90 jours pour faible)
Divulgation publique coordonnée : par défaut 90 jours après remediation ou plus tôt d'un commun accord

3. Safe Harbor

Vectoria s'engage à ne pas engager de poursuites judiciaires contre les chercheurs en sécurité qui agissent de bonne foi conformément à la présente politique, sous réserve que tu :

n'exfiltres pas de données utilisateurs au-delà de ce qui est strictement nécessaire pour démontrer la vulnérabilité ;
ne dégrades pas le service, ne supprimes pas de données, et ne perturbes pas les utilisateurs ;
ne tentes pas de pivoter vers d'autres systèmes que ceux explicitement in-scope ;
respectes une fenêtre de divulgation responsable (par défaut 90 jours, ajustable d'un commun accord) ;
nous contactes avant toute publication ou démonstration publique.

Cette clause de Safe Harbor reflète notre intention de collaborer avec la communauté sécurité. Elle ne lie pas les tiers (Hostinger, Cloudflare, etc.) ni les autorités. Si une action légale d'un tiers est engagée contre toi pour des activités menées de bonne foi conformément à cette politique, nous prendrons des mesures pour clarifier publiquement que tes actions ont été autorisées.

4. Récompenses

Vectoria n'a pas de programme de bug bounty rémunéré à ce jour. Les rapports valides sont reconnus publiquement (avec ton accord) dans la section Acknowledgments ci-dessous, et un email de remerciement signé d'Ahmed Housni est systématiquement envoyé. Un programme rémunéré pourra être mis en place lorsque l'activité commerciale Vectoria le justifiera.

5. Acknowledgments

Merci aux chercheurs en sécurité ci-dessous pour leurs rapports responsables.

Aucun rapport public à ce jour. Tu peux être le premier.

6. security.txt

Les métadonnées de contact sécurité conformes RFC 9116 sont publiées à :

https://vectoria.ma/.well-known/security.txt

7. Contact général

Pour les questions non liées à une vulnérabilité (presse, partenariats, support client) : [email protected] — mais merci d'utiliser le préfixe [SECURITY] uniquement pour les rapports sécurité, ça nous aide à prioriser.