Politique de Pentest — GOLDDEAD

Tests d'intrusion autorisés uniquement après demande écrite et accord explicite. Respect, transparence, et réparation.

Règles générales

Nous acceptons et encourageons la recherche de vulnérabilités sur nos systèmes dans un cadre responsable. Pour des raisons légales et opérationnelles, tous les tests doivent suivre les règles ci‑dessous. Le fait d'effectuer des tests sans autorisation explicite reste strictement interdit.

1 — Demande préalable

Avant toute action, envoyez une demande par email à ggolddead@gmail.com indiquant : l'identité, la portée souhaitée (URL, sous-domaines), et les dates possibles. (et donner un document qui prouve votre identitée)

2 — Attendre une réponse

Toute activité doit attendre une réponse écrite et positive de notre part. Sans réponse positive, tout test est considéré non autorisé.

3 — Respecter les limites

Interdiction de causer un dommage réel : pas d'exfiltration de données, pas de dégradation des services, pas d'accès sans permission persistante.

4 — Signalement

Après découverte, envoyez-nous un rapport clair (voir modèle ci‑dessous). Nous demandons sobriété : pas de publication publique avant remédiation convenue.

Ce que doit contenir votre rapport

Un bon rapport accélère la correction et augmente la probabilité d'une récompense.

Titre : Court titre de la faille
Découverte par : Prénom / Pseudo / Email
Cible : https://example.com (page exacte, endpoint)
Date / Heure : YYYY-MM-DD hh:mm (UTC+1)
Description : Brève description de la vulnérabilité et de son impact
Étapes de reproduction : 1) ... 2) ... (précises et concises)
Preuves : logs / captures d'écran (évidences non sensibles — ne pas inclure data exfiltrée)
Impact estimé : faible / moyen / élevé / critique
Proposition de correction : étapes recommandées pour corriger
Notes : autres informations utiles
Adresse de contact : ggolddead@gmail.com

Règles légales et comportementales (important)

Interdit : exploitation malveillante, vente ou publication de données privées, dénis de service, accès persistant non autorisé. Toute action en dehors du périmètre autorisé pourra entraîner des poursuites.

En soumettant un rapport et en recevant l'autorisation, vous acceptez que vos découvertes soient utilisées uniquement pour améliorer la sécurité des services. Nous nous réservons le droit de refuser une récompense selon la nature du test et la qualité du rapport.

Récompenses

Nous proposons des récompenses au cas par cas selon :

L'attribution, le montant (le cas échéant) et le mode de récompense seront définis après revue interne.

Processus après signalement

  1. Accusé de réception de votre rapport sous 48-72h (mail).
  2. Évaluation interne et marqueur de criticité.
  3. Coordination sur la correction (échanges privés, tests de validation).
  4. Clôture et éventuelle récompense.

Remarque : ces délais peuvent varier selon la charge et la nature de la vulnérabilité. Si tu es chercheur en sécurité, indique ton workflow préféré dans le mail.

Questions fréquentes

Q : Puis-je publier la faille ?
A : Non — pas avant que nous ayons corrigé ou convenu d'un calendrier de divulgation.

Q : Puis-je réaliser des tests automatisés (scan) ?
A : Seulement si le périmètre a été clairement accepté par écrit.