Bug Bounty Program

La sécurité de nos utilisateurs et partenaires est une priorité absolue pour Yourban.
Nous remercions la communauté des chercheurs en cybersécurité pour leurs efforts visant à identifier et corriger les vulnérabilités potentielles avant qu’elles ne puissent être exploitées.Ce programme s’applique à l’ensemble des environnements numériques de Yourban, notamment :Le site web https://www.yourban.ai et la plateforme SaaS https://app-yourban.com

Comment signaler une vulnérabilité

Si vous découvrez une faille potentielle sur le site ou la plateforme, merci de nous contacter de manière responsable à diego@go-yourban.com, en incluant :Une description claire de la faille ;Les étapes de reproduction ;L’impact potentiel et le point d’accès concerné (URL, API, etc.).
⚠️ Important :
- N’exploitez pas la faille ;
- N’accédez à aucune donnée personnelle ou confidentielle ;
- Laissez-nous un délai raisonnable pour corriger le problème avant toute publication.

Politique en matière de tests

- Veuillez tester les vulnérabilités uniquement sur vos propres comptes.
- Utilisez uniquement des comptes autorisés afin de ne pas compromettre par inadvertance la sécurité ou la confidentialité de nos utilisateurs.
- Évitez les tests susceptibles d'entraîner une dégradation ou une interruption de nos systèmes de service.
- N'utilisez pas de scanners automatisés ou d'outils générant un trafic réseau important.
- Ne divulguez, ne manipulez et ne détruisez aucune donnée ou fichier utilisateur dans aucun système.
- Ne copiez aucun fichier du système et ne les divulguez pas.

Politique de récompense

Yourban ne dispose pas actuellement d’un programme de bug bounty rémunéré.
Cependant, nous reconnaissons la valeur de tout signalement valide et pouvons offrir :
- Une mention publique dans notre Hall of Fame ;
- Un accès anticipé à certaines fonctionnalités bêta ;
- Éventuellement, une récompense symbolique selon la gravité et la qualité du rapport.

Risk Category
Scoring
Reward
Objective
Critical
1 000
Cash Price ( 1 - 500 €)
Vulnérabilité la plus dangereuse : compromission de la base de données ou du système de l'entreprise.
High-Risk
750
Hall of Fame Premium
Faille très grave : accès privilégié ou fuite massive de données.
Medium-Risk
350
Hall of Fame
Violation grave : vol d'identité ciblé ou impact modéré sur l'utilisateur.
Low-Risk
100
Hall of Fame
Défaut mineur ou nécessitant une interaction importante de la part de l'utilisateur.
No Impact
0
Thank You
Bugs fonctionnels, esthétiques ou non exploitables.

Classification des vulnérabilités

Critical Vulnerabilities
- Accès au système/RCE : exécution de code à distance (RCE), injection de commande, téléchargement de shell Web ou injection SQL conduisant à des autorisations système sur les serveurs de production.
- Accès aux données (majeur) : accès complet à la base de données centrale de veille économique. Fuite d'informations grave affectant plus de 100 000 enregistrements ou permettant l'accès à trois champs sensibles ou plus (données clients, données agrégées sur le trafic/la demande, détails de facturation).
- Failles logiques majeures : connexion arbitraire à n'importe quel compte utilisateur ou administrateur, contournement de l'authentification pour les transactions financières critiques.
- Sécurité multi-locataires : accès non autorisé aux données et rapports (business intelligence) d'un autre client de Yourban.ai.

High-Risk Vulnerabilities
- Autorisations générales : vulnérabilités conduisant à des autorisations générales ou à un accès au réseau interne (SSRF avec retour de réponse complet).
- Élévation des privilèges : contournement de l'authentification pour accéder aux backends administratifs ou aux fonctionnalités de gestion des comptes clients. Modification non autorisée des configurations commerciales critiques de la plateforme.
- Fuite d'informations : fuite d'informations affectant plus de 10 000 enregistrements sensibles, ou injection SQL sur des bases de données secondaires.

Medium-Risk Vulnerabilities
- Usurpation d'identité de l'utilisateur : XSS stocké sur des pages critiques (connexion, tableaux de bord de reporting). Injection SQL sur les sites Web d'applications standard (en dehors de la base de données principale).
- Accès non autorisé : contournement des restrictions d'interface pour modifier les données d'un utilisateur (non administrateur) ou effectuer des opérations en son nom.
- Fuite d'informations modérée : fuite du code source interne (paquets complets) ou exposition des clés de la plateforme Cloud.

Low-Risk Vulnerabilities
- Interaction utilisateur : XSS réfléchi, CSRF sur des opérations sensibles.
- Failles logiques mineures : contournement du code de vérification par SMS/e-mail, attaque par force brute du code SMS.
- Fuite d'informations mineure : fuite de fragments de code source sur GitHub, journaux (Logcat) ne contenant pas d'informations sensibles critiques.

No Impact
- Problèmes esthétiques, bogues fonctionnels, vulnérabilités non exploitables (Self-XSS, rapports de scanner, etc.).
- Vulnérabilités dans les environnements de test, de pré-lancement ou de démonstration.

Admissibilité à la récompense et divulgation responsable

1. Premier rapporteur : vous devez être la première personne à signaler une vulnérabilité valide. Les rapports sur des failles déjà connues seront marqués comme informatifs.

2. Vulnérabilité admissible : la vulnérabilité signalée doit correspondre à une catégorie de risque définie à la section 1.

3. Règle « OneFixOneReward » : si deux vulnérabilités ou plus sont liées à la même cause fondamentale et qu'une seule correction permet de résoudre tous les cas, seul le premier rapport valide soumis sera éligible à une récompense (monétaire ou autre). Les rapports connexes ultérieurs seront classés comme informatifs. Ces cas seront examinés au cas par cas.

4. Qualité du rapport : vous devez fournir une description textuelle claire du rapport, y compris les étapes précises permettant de reproduire le problème, ainsi que les pièces jointes nécessaires (captures d'écran, preuve de concept du code).

5. Conduite Éthique:
- Vous devez éviter tout test susceptible d'entraîner une dégradation ou une interruption des services Yourban.ai (évitez d'utiliser des outils automatisés lourds et limitez le nombre de requêtes par seconde).
- Vous ne devez en aucun cas divulguer, manipuler ou détruire des données appartenant à Yourban.ai ou à ses clients.
- Aucune divulgation de vulnérabilité, y compris partielle, n'est autorisée avant que la faille n'ait été entièrement corrigée.

6. Statut Professionnel : Vous ne devez pas être un employé actuel ou ancien de Yourban.ai, ni un sous-traitant ou un partenaire commercial travaillant actuellement pour Yourban.ai.

7. Évaluation : Notre analyse et la récompense versée sont toujours basées sur le pire scénario d'exploitation de la vulnérabilité signalée.

Nous nous engageons à vous fournir une classification complète des risques (score) et une décision de récompense dans un délai maximum de 15 jours ouvrables, hors jours fériés et périodes de fermeture de l'entreprise, à compter de la réception de votre rapport.

Contact

Contact sécurité : diego@go-yourban.com
Langues acceptées : français, anglais

Gardez un temps d’avance avec la Yourban Intelligence

Découvrez nos fonctionnalités pour vous faire gagner du temps à vous et à votre équipe !

Demander une Démo

Site web

À proposFormulesProduitContact

Ressources

BlogCas d'usagesIntégrationsrecrutementCentre d'aide

© Yourban

Termes et conditionsPolitique de gestion des cookiesPolitique de confidentialitéBug Bounty ProgramHall of fame