Politique de Divulgation des Vulnérabilités — ScamLens
Dernière mise à jour : 2026-04-16
Périmètre
Cette politique couvre la recherche en sécurité effectuée contre les actifs suivants :
*.scamlens.org- Extension ScamLens pour Chrome (ID Chrome Web Store : OrangeDuck)
- API publique de ScamLens (
api.scamlens.org)
Les services tiers (Stripe, Google Auth, Cloudflare, Brevo, Resend) sont hors périmètre — signalez-les directement à ces fournisseurs.
Sphère de sécurité
Nous n'engagerons pas de poursuites contre les chercheurs qui :
- Agissent de bonne foi et respectent cette politique
- N'accèdent pas, ne modifient pas et n'exfiltrent pas de données au-delà de ce qui est nécessaire pour démontrer la vulnérabilité
- Ne perturbent pas les services et ne dégradent pas l'expérience utilisateur
- Signalent rapidement et maintiennent la confidentialité jusqu'à la remédiation
Hors périmètre
- Déni de service / tests de charge contre la production
- Ingénierie sociale du personnel ou des utilisateurs
- Attaques physiques
- Rapports d'analyseurs automatisés sans impact confirmé
- Self-XSS et clickjacking sur des pages sans état sensible
- En-têtes de bonnes pratiques manquants sur les ressources statiques (déjà suivi en interne)
Comment signaler
Envoyez un e-mail à security@scamlens.org avec :
- Titre et actif affecté
- Étapes de reproduction (claires, minimales)
- Analyse d'impact (ce qu'un attaquant pourrait accomplir)
- Remédiation suggérée (facultatif)
Nous accusons réception sous 48 heures. Objectifs de remédiation : Critique 7 jours, Haute 14 jours, Moyenne 30 jours, Basse au mieux.
Reconnaissance
Les rapports validés sont reconnus sur la page Remerciements de sécurité sous votre nom préféré (ou anonymement sur demande).