Vaulted

Bug Bounty & divulgation responsable

Nous accueillons l'examen critique. Trouve un vrai problème de sécurité, obtiens une reconnaissance publique et une entrée permanente au Hall of Fame.

Politique mise à jour le 2026-04-27 · Maxim Novak

Le discours honnête

Vaulted est un outil gratuit développé de manière indépendante. Nous ne versons pas encore de primes en argent — prétendre le contraire serait trompeur. À la place, les signalements valides obtiennent un accusé de réception rapide, une reconnaissance publique sur cette page, une attribution de CVE le cas échéant et nos remerciements sincères. Si tu chasses des primes rémunérées, ce n'est pas l'endroit pour toi. Si tu tiens à ce que les outils chiffrés de bout en bout fassent ce qu'ils annoncent, n'hésite pas à creuser.

Ce que tu obtiens pour un signalement valide

  • Accusé de réception sous 48 heures. Un vrai humain, une vraie réponse.
  • Entrée permanente au Hall of Fame sur cette page avec ton nom (ou ton pseudo), la date et une courte description du problème, une fois corrigé et divulgué.
  • Coordination de CVE si la découverte le justifie — nous travaillerons avec toi sur la réservation et le calendrier de publication.
  • Divulgation coordonnée selon un calendrier qui te convient. Nous corrigeons d'abord, puis nous publions les détails en te citant.
  • Un véritable mot de remerciement de la part d'une vraie personne. Si des primes en argent deviennent disponibles plus tard, des paiements rétroactifs aux chercheurs précédents seront envisagés de manière équitable.

Dans le périmètre

Implémentation cryptographique

Toute faille dans l'AES-256-GCM côté client, la génération de clés, la réutilisation d'IV, la gestion du fragment d'URL ou l'encapsulation de la phrase secrète. La cryptographie est le produit — les bugs ici sont les signalements de plus haute priorité.

Contournement d'authentification / d'autorisation

Lire ou modifier des secrets sans l'ID et la clé corrects. Contourner les limites de consultations, l'expiration ou les invites de phrase secrète.

Exposition de données

Fuite côté serveur de texte en clair, de clés, d'IV à des endroits inattendus, de texte chiffré, de compteurs de consultations, d'adresses IP ou de toute autre donnée qui ne devrait pas être observable.

Vulnérabilités côté serveur

Bugs dans les gestionnaires de route d'API, contournement du rate-limit, injection, problèmes de désérialisation, SSRF, request smuggling côté serveur.

Mauvaise configuration de l'infrastructure

Tout, dans le déploiement de production de vaulted.fyi, qui expose des données ou compromet le modèle de sécurité.

Intégrité de la chaîne d'approvisionnement

Artefacts de build compromis ou altérés, absence de SRI là où cela compte, attaques de dependency-confusion contre nos paquets npm publiés.

Hors périmètre

Attaques volumétriques ou par déni de service

N'essaie pas de mettre le site hors service. Les bugs de contournement du rate-limit sont dans le périmètre ; le flooding ne l'est pas.

Spam / abus de la création de secrets

Générer un grand nombre de secrets n'est pas une vulnérabilité.

Ingénierie sociale

Du personnel, des contributeurs ou des utilisateurs. Le phishing de la boîte de réception sécurité ne compte pas.

Vulnérabilités dans des services tiers

Les problèmes chez Vercel, Upstash, Cloudflare, etc. doivent être signalés en amont. Nous sommes ravis de coordonner si le problème affecte spécifiquement Vaulted.

Problèmes nécessitant un terminal compromis

Un navigateur compromis, une extension malveillante ou un keylogger sur l'appareil de l'utilisateur est pris en compte dans notre modèle de menace — voir modèle de menace. Ce ne sont pas des vulnérabilités de Vaulted.

Constats de bonnes pratiques sans impact

« L'en-tête X est manquant » ou « l'attribut de cookie Y » sans impact de sécurité démontré. Dis-le-nous quand même — nous le corrigerons peut-être — mais cela ne donnera pas droit au Hall of Fame.

Règles d'engagement

  • Ne teste qu'avec des secrets que tu crées toi-même. N'accède pas aux données d'autres utilisateurs et n'essaie pas d'y accéder.
  • Arrête-toi et signale dès le premier signe d'une vulnérabilité. Ne fais ni pivot, ni exfiltration, ni persistance, ni escalade.
  • Ne publie aucun détail tant que nous n'avons pas eu une occasion raisonnable de corriger — généralement 90 jours, mais nous visons plus rapide.
  • Le scan automatisé est acceptable dans des limites de débit raisonnables. Si ton outil génère un trafic important, ralentis-le.
  • Teste contre la production à tes propres risques. Nous n'engagerons aucune action contre une recherche de bonne foi qui suit ces règles.

Processus & délais

  1. Tu signales via [email protected]. L'e-mail chiffré est le bienvenu.
  2. Nous accusons réception sous 48 heures et attribuons une référence de suivi.
  3. Tri sous 5 jours — nous confirmons si la découverte est dans le périmètre et reproductible.
  4. Correction & déploiement selon un calendrier proportionnel à la gravité (heures pour critique, jours pour élevé, semaines pour moindre).
  5. Divulgation coordonnée en te citant, plus une entrée au Hall of Fame.

Hall of Fame

  • Esrak Fardin Ratul (zer0rat)

    View-limit race condition (TOCTOU): a maxViews=1 secret could be read more than once under concurrent requests. Fixed by making the view-limit claim atomic.

Prêt à signaler ou une question ?

[email protected]

Voir aussi : modèle de menace · vérifie Vaulted toi-même · security.txt