Sécurité

Divulgation responsable, bien faite.

Si vous trouvez une vulnérabilité sur NoKYCSwap, dites-le nous. Divulgation coordonnée à 90 jours, aucune action légale contre la recherche de bonne foi, crédit public sur demande. Cette page détaille les conditions exactes.

Signalement

[email protected] security.txt

ACC : < 48h · SLA correctif : 14 – 90d · PGP: sur demande

Calendrier de divulgation

Du signalement au crédit public

Jour 0

Signalement

Envoyez un email à [email protected] avec un court résumé et une preuve de concept. Clé PGP disponible sur demande. Nous accusons réception sous 48 heures.

Jour 1 – 90

Triage & correctif

Nous reproduisons, notons et déployons un correctif. Pour une sévérité supérieure à moyenne, nous visons à livrer le correctif sous 14 jours ; pour une sévérité faible, sous 90. Vous recevez une mise à jour de statut au minimum tous les 14 jours.

Jour 90+

Divulgation publique

Après le déploiement du correctif et un délai pour que les utilisateurs l'adoptent, nous publions une courte note et vous créditons par votre nom ou pseudo — sauf si vous préférez autrement. Divulgation coordonnée uniquement. Aucun embargo surprise.

Périmètre

Ce que nous voulons que vous testiez

Dans le périmètre

À tester

L'interface web nokycswap.io et tout sous-domaine que nous opérons (api., etc.).
Chemins de code côté serveur atteignables depuis la surface de production.
Problèmes côté client avec impact démontrable (XSS, contournement CSRF, DOM clobbering qui fuit l'état).
Faiblesses cryptographiques dans notre gestion de signature / CSRF / session.
Mauvaises configurations visibles sur HTTP(S) : contournement CSP, lacunes HSTS/preload, permissivité CORS, chaînes d'injection d'en-têtes.
Failles logiques permettant à un utilisateur de lire ou modifier l'état de commande d'un autre.

Hors périmètre

Non éligible & sera fermé

Déni de service, épuisement de ressources, contournement de limite de débit sans impact secondaire.
Tab-nabbing, clickjacking sans impact sécurité, en-têtes de sécurité manquants sur les ressources statiques.
Problèmes nécessitant un attaquant dans le navigateur de l'utilisateur (extensions malveillantes, malware local).
Usurpation d'en-têtes From dans des emails que nous ne contrôlons pas.
Ressources tierces (Cloudflare, fonts.bunny.net, ff.io) — signalez en amont.
Self-XSS, UI redressing auquel un utilisateur raisonnable ne se laisserait pas prendre.
Suggestions de bonnes pratiques sans impact démontrable.

Safe harbour (zone protégée)

Nos engagements aux chercheurs

Aucune action légale

Contre la recherche de bonne foi qui reste dans le périmètre, évite les tests destructifs et respecte la confidentialité des utilisateurs. Nous ne contacterons pas votre employeur, votre hébergeur ni les forces de l'ordre au sujet de votre rapport.

Pas de bannissements automatiques

Les tests actifs (scanners autorisés, sondage manuel) ne déclencheront pas de verrouillage de compte — nous n'avons pas de comptes. Des limites de débit au niveau IP s'appliquent ; prévenez-nous et nous placerons votre source en liste blanche.

Crédit sur demande

Nous publions un court accusé de réception dans les notes de version et sur cette page après le déploiement du correctif. Vous voulez rester pseudonyme ou anonyme ? Dites-le dans le rapport.

Parlons vrai : bounty

Nous n'exploitons pas encore de programme de bug bounty rémunéré. Nous remercions les rapports substantiels avec du merch, des crédits testnet et un crédit public honnête. Quand nous aurons les moyens, un programme rémunéré sera la suite.

Tableau d'honneur

Chercheurs qui ont rendu ce site plus sûr

Nous créditons ici chaque rapport substantiel après le déploiement du correctif. La liste est actuellement vide — pas parce que personne n'a regardé, mais parce que nous venons juste de publier cette page. Si vous aimeriez être le premier, écrivez à [email protected].

Vous avez trouvé quelque chose ? Dites-le nous en premier.

Nous répondons à chaque signalement. Privé par défaut, public selon votre calendrier.

Écrire à l'équipe Lire la transparence