1. Canal de signalement
Envoyez un courriel à security@musaium.com avec une description du problème, les étapes de reproduction, le composant concerné (backend / mobile / web) et vos coordonnées. Les signalements anonymes sont acceptés.
L’envoi chiffré PGP est disponible sur demande — écrivez-nous et nous organiserons un échange de clé. Une clé publique sera publiée à https://musaium.com/.well-known/pgp-key.txt après la V1.
Merci de ne PAS ouvrir d’issues GitHub publiques, ni publier sur les réseaux sociaux, ni contacter d’autres membres de l’équipe pour un signalement de vulnérabilité. Le courriel security@ est le seul canal officiel.
Ressources de découverte : https://musaium.com/.well-known/security.txt (RFC 9116) et notre SECURITY.md sur GitHub.
2. Nos engagements
Accusé de réception sous 5 jours ouvrés (cible 24 heures).
Décision de triage initial (in/out of scope, sévérité) sous 10 jours ouvrés.
Mises à jour de statut au minimum toutes les 2 semaines pendant la remédiation.
Cible de correctif et avis public : 90 jours après accusé de réception, avec une extension possible de 30 jours communiquée au rapporteur quand la remédiation est complexe.
Crédit sur notre page hall-of-fame après correction, si vous le souhaitez (et si le rapport est in-scope et exact).
3. Périmètre — dans le périmètre
musaium.com et *.musaium.com (web et API de production).
L’application Musaium iOS distribuée via l’App Store (version courante).
L’application Musaium Android distribuée via Google Play (version courante).
La surface OpenAPI servie à api.musaium.com.
4. Hors périmètre
Services tiers que nous utilisons mais ne contrôlons pas : App Store, Google Play, OVH, Stripe, OpenAI, Deepseek, Google AI, Sentry, partenaires musées, fournisseurs CDN. Signalez-leur directement.
Déni de service (DoS / DDoS), attaques volumétriques, épuisement de ressources.
Ingénierie sociale du personnel, des contractants, des musées ou des utilisateurs (phishing, vishing, SMS).
Tests de sécurité physique (accès aux locaux, appareils).
Résultats d’outils automatisés sans preuve d’impact réel.
Constats limités à des versions de dépendances obsolètes sans chemin d’exploitation démontré.
Rapports nécessitant des comptes utilisateurs déjà compromis ou des appareils déjà rootés / jailbreakés.
Self-XSS, en-têtes de sécurité manquants sans exploit, clickjacking sur pages non sensibles, absence de rate limiting sur endpoints non sensibles.
Problèmes ne touchant que des navigateurs ou OS obsolètes / non supportés.
Vulnérabilités exploitables uniquement via builds debug ou mode développeur.
5. Règles pour les chercheurs
Faites un effort de bonne foi pour éviter de nuire aux utilisateurs, aux services et aux données.
Utilisez des comptes de test que vous créez vous-même ; n’accédez jamais aux données d’un autre utilisateur.
Arrêtez-vous et signalez immédiatement si vous croisez des données personnelles, des données de paiement ou des identifiants qui ne sont pas les vôtres. N’exfiltrez pas, ne stockez pas, ne partagez pas ce à quoi vous auriez accédé par accident.
Pas de DoS, pas d’ingénierie sociale, pas de test physique. Pas de pivot hors périmètre Musaium ni d’attaque sur nos fournisseurs / partenaires.
Donnez-nous un délai raisonnable de remédiation avant toute divulgation publique (90 jours par défaut, motif Project Zero « 90 + 30 »).
6. Safe harbour
Si votre recherche respecte cette politique, nous considérons votre activité autorisée sous les lois anti-piratage applicables (Code pénal français art. 323-1 et suivants, StGB allemand §202c, CFAA US 18 U.S.C. §1030, UK Computer Misuse Act et équivalents) et sous les lois anti-contournement applicables (art. 6 de la Directive UE 2001/29/CE, DMCA US §1201).
Nous exemptons votre activité des restrictions de nos Conditions d’utilisation et politique d’usage acceptable qui interdiraient autrement la recherche de sécurité et la considérons légale, utile à la sécurité de nos utilisateurs et menée de bonne foi.
Nous n’engagerons aucune action en justice pour une recherche de bonne foi conforme à cette politique. Si un tiers engage une action contre vous pour une activité conforme, nous ferons valoir publiquement ce safe harbour.
Limites que nous ne pouvons lever : ce safe harbour ne couvre que les prétentions juridiques qui relèvent de nous. Il ne peut engager les tiers (App Store, Google Play, OVH, Stripe, OpenAI, partenaires musées). Les activités hors politique — nuisance intentionnelle, demandes de rançon, exfiltration non autorisée, ingénierie sociale — ne sont pas couvertes.
7. Divulgation coordonnée
Fenêtre de coordination par défaut : 90 jours après accusé de réception, avec une extension possible de 30 jours en cas de remédiation complexe. Avis public 30 jours après la mise à disposition du correctif (motif Project Zero « 90 + 30 »), pour permettre une fenêtre de mise à jour des utilisateurs.
Pour les vulnérabilités activement exploitées qualifiées au titre du Règlement UE Cyber Resilience Act (2024/2847), nous suivons le calendrier de la plateforme unique de signalement ENISA à partir du 2026-09-11 : alerte initiale 24 h, notification complète 72 h, rapport final 14 jours après correctif disponible. Détails de triage : docs/operations/VDP_RUNBOOK.md.
Attribution CVE pour les constats CVSS 4.0 ≥ 4.0 : demandée via MITRE.
8. Hall of fame
Les chercheurs qui signalent des vulnérabilités valides et dans le périmètre sont listés ici (avec leur accord) après correction. Liste vide en pré-lancement.