Serveurs dédiés européens avec facturation mensuelle et sans frais d'installation Protection DDoS L3/L4 incluse Assistance technique assurée par une équipe 24/7/365
Looking Glass Contact
Sécurité

Divulgation responsable pour les services DediStart.

Cette politique explique comment signaler une vulnérabilité, quels tests sont hors de portée et quelles informations aident l'équipe à examiner rapidement un rapport.

Signaler un problème de sécurité Contacter l'équipe
Résumé de divulgation
Les rapports uniques et bien documentés peuvent être examinés pour une récompense discrétionnaire.

L'objectif est une divulgation sûre et responsable. Toute décision de récompense reste optionnelle, dépend de la validation interne et est réservée aux rapports qualifiants.

Sommaire
Détails du signalement
  • Dernière mise à jour 17 Mar 2026
  • E-mail de signalement [email protected]
  • Modèle de réponse Examiné au cas par cas
  • Modèle de récompense Discrétionnaire pour les rapports qualifiants
La divulgation d'abord : DediStart accueille favorablement les signalements responsables de problèmes de sécurité crédibles. Les chercheurs qui suivent cette politique aident l'équipe à investiguer en toute sécurité et à protéger les clients sans perturbation de service inutile.

Aperçu

Aucun système de production n'est parfait, et l'examen de sécurité par des chercheurs expérimentés peut être précieux lorsqu'il est mené de manière responsable. Si vous pensez avoir identifié une vulnérabilité affectant un produit, service ou site Web DediStart, signalez-la via le canal publié ci-dessous.

Le programme est centré sur la divulgation responsable, et non sur une compétition publique. Les rapports qualifiants peuvent être considérés pour une récompense discrétionnaire après validation interne, examen de la gravité et vérification des doublons.

Attentes en matière de signalement sûr

  • Signalez le problème dès que raisonnablement possible après la découverte et fournissez suffisamment de détails pour que l'équipe puisse reproduire la constatation.
  • Accordez un délai raisonnable pour l'investigation et la remédiation avant de divulguer le problème publiquement ou à un tiers.
  • N'utilisez pas l'usurpation d'identité, l'ingénierie sociale, le phishing ou d'autres méthodes de contact trompeuses lors des tests ou des signalements.
  • Utilisez uniquement les comptes que vous avez créés vous-même et n'accédez pas, ne modifiez pas et ne détruisez pas les données appartenant à d'autres utilisateurs.
  • Évitez les méthodes de test qui perturbent la disponibilité, dégradent le service pour les autres ou créent des risques opérationnels inutiles.
  • Gardez le rapport confidentiel pendant que le problème est en cours d'examen. Les informations personnelles fournies avec le rapport ne seront pas partagées sans consentement, sauf si la divulgation est requise par la loi.
  • Si vous respectez ces attentes et les autres conditions de cette politique, Redcluster LTD n'a pas l'intention d'engager des poursuites judiciaires en relation avec le rapport lui-même.

Éligibilité

Un rapport peut être considéré pour examen dans le cadre de ce programme lorsque toutes les conditions suivantes sont remplies :

  1. Vous êtes le premier à signaler le problème.
  2. Vous respectez les attentes en matière de signalement sûr décrites dans cette politique.
  3. Vous ne divulguez pas publiquement le problème avant que Redcluster LTD ait eu une opportunité raisonnable d'investiguer et de répondre.
  4. Vous fournissez une explication claire de l'impact avec des étapes reproductibles ou une preuve de concept fonctionnelle.
  5. Vous utilisez uniquement vos propres comptes et ne tentez pas d'accéder à des données qui ne vous appartiennent pas.
  6. Vous n'êtes pas situé dans, ou autrement soumis à, des restrictions de sanctions qui empêcheraient Redcluster LTD de participer au programme.
Note sur la récompense : Même lorsqu'un rapport est valide, toute récompense reste discrétionnaire et est basée sur l'évaluation interne de l'impact, de l'unicité, de la qualité du rapport et de l'adéquation globale au programme.

Résultats hors de portée

Les catégories ci-dessous sont généralement hors de portée et peuvent ne pas recevoir de réponse individuelle lorsqu'elles ne démontrent pas un impact de sécurité significatif et exploitable.

Attaques sociales et physiques

  • Ingénierie sociale, phishing, usurpation d'identité ou autres tentatives de manipulation du personnel ou de tiers.
  • Toute tentative physique contre les biens de l'entreprise, l'infrastructure ou les installations du centre de données.

Disponibilité et tests abusifs

  • Activité de déni de service, force brute, tests de stress ou tout test pouvant dégrader la disponibilité du service.
  • Rapports générés uniquement par des outils automatisés ou un scan large sans impact démontré spécifique au service.
  • Limites de taux manquantes signalées sans chemin d'exploitation pratique.

Résultats web à faible signal

  • CSRF, XSS réflexif, problèmes de clickjacking uniquement, usurpation de contenu sur les pages d'erreur, attaques homographes, redirections ouvertes, observations CAPTCHA faibles et problèmes liés au cache.

En-têtes, configuration et rapports d'exposition uniquement

  • Indicateurs de cookies manquants, en-têtes de sécurité manquants sans impact démontré, manque de noreferrer ou noopener, observations DKIM/SPF/DMARC, exposition de version, liste de répertoires, observations SSL, OPTIONS activé ou divulgation d'IP serveur.

Cas limites de compte et d'appareil local

  • Délais d'expiration de session d'authentification, réutilisation TOTP 2FA, préoccupations concernant la politique de mot de passe, détails de vérification de changement d'e-mail, observations du flux d'activation 2FA ou problèmes nécessitant l'accès à l'appareil de l'utilisateur.
  • Revendications d'énumération d'utilisateurs qui dépendent du comportement de force brute plutôt que d'une faiblesse pratique de l'application.

Logiciels tiers et systèmes externes

  • Bugs dans des logiciels tiers, vulnérabilités WordPress, vulnérabilités de navigateur ou altération des paramètres du processeur de paiement en dehors de la surface d'application DediStart directe.
Note d'examen : Les rapports qui ne couvrent que des catégories exclues peuvent être fermés sans réponse détaillée car ils ne correspondent pas au périmètre du programme.

Que faut-il inclure dans un rapport

Un rapport utile comprend généralement :

  • Le nom d'hôte, l'URL, le service ou le flux utilisateur concerné.
  • Des étapes de reproduction claires, incluant l'état de compte requis, les détails de timing ou d'environnement.
  • L'impact observé et la conséquence de sécurité que vous pensez découler du problème.
  • Une preuve de concept, des captures d'écran, des exemples de requêtes ou des journaux qui aident l'équipe à valider le rapport sans répéter des tests excessifs.
  • Vos coordonnées préférées en cas de besoin de clarification de suivi.

Canal de signalement

Envoyez les conclusions initiales au canal d'abus et de sécurité ci-dessous. Si le problème est accepté pour examen, la communication de suivi peut continuer via ce fil.

E-mail de signalement de sécurité

[email protected]

Contact général du site

Utilisez la page de contact pour les questions opérationnelles non liées à la sécurité.