Sécurité & confiance

Divulgation de vulnérabilités, contact PGP et conformité au Cyber Resilience Act (CRA) de l'UE.

1. Signaler une vulnérabilité

Vous avez découvert un problème de sécurité ? Nous accueillons les signalements confidentiels. Utilisez les canaux ci-dessous plutôt que des canaux publics.

Canaux de contact confidentiels

E-mail:security@chorilo.com
Clé PGP:/.well-known/pgp-key.txt
security.txt selon RFC 9116:/.well-known/security.txt

2. Périmètre

Dans le périmètre

chorilo.com et tous les sous-domaines de production
API backend Chorilo
Application mobile Chorilo (iOS, Android)
Application desktop Chorilo Files (macOS, Windows)
Authentification, autorisation, contrôles d'accès

Hors périmètre

Rapports d'analyseurs automatisés sans preuve de concept
En-têtes de sécurité manquants sans impact démontré
Phishing ou ingénierie sociale du personnel
Services tiers (Stripe, Sentry — signaler directement)
Self-XSS, attaques contre l'appareil du déclarant

3. Safe Harbor

Si vous agissez de bonne foi, nous n'engagerons aucune action civile ou pénale, à condition que vous :

Évitiez les violations de la vie privée, la destruction de données et l'interruption de service.
N'interagissiez qu'avec des comptes que vous possédez ou avec autorisation explicite.
N'exfiltriez pas plus de données que nécessaire pour démontrer le problème.
Nous donniez un temps raisonnable pour remédier avant toute divulgation publique.
N'exploitiez pas la vulnérabilité au-delà du minimum nécessaire.

4. Temps de réponse

Délai	Action
3 jours ouvrables	Accusé de réception au déclarant
10 jours ouvrables	Évaluation initiale et classification de la gravité
24 h	Alerte précoce à l'ENISA pour vulnérabilités activement exploitées
72 h	Notification de vulnérabilité avec plan de mitigation
14 d	Rapport final avec cause racine et remédiation

Pour les vulnérabilités activement exploitées, le calendrier du Cyber Resilience Act (24h / 72h / 14j) s'applique.

5. Clé PGP

Pour les rapports particulièrement sensibles, la clé PGP suivante peut être utilisée.

Key ID:F515A8A7A0AF17DB

Fingerprint:D4DECED45D1FBC7D2251A143F515A8A7A0AF17DB

Download: /.well-known/pgp-key.txt

Comparez l'empreinte avec une seconde source — par exemple keys.openpgp.org — avant la première utilisation.

6. Conformité CRA

Chorilo se conforme au Cyber Resilience Act (Règlement 2024/2847) :

Politique de divulgation selon art. 13 et 14 CRA.
Software Bill of Materials (CycloneDX 1.5) par composant.
Documentation technique selon l'annexe VII, conservée 10 ans.
Page de statut publique et historique d'incidents sur /status

7. Tableau d'honneur

Une liste des chercheurs en sécurité contribuant à Chorilo sera publiée après résolution des premiers rapports.