$ cat /etc/internalhost/responsible-disclosure

Divulgation responsable

Version 1.0 · Dernière mise à jour : 2026-05-19 · lisible-machine : /.well-known/security.txt

Tu as trouvé un bug, une vulnérabilité ou un abus ? Dis-le. On apprécie la divulgation responsable et on répond sous 48 heures — généralement plus vite.

Comment signaler

  • Email : [email protected] — préféré pour les rapports écrits avec PoC reproductible.
  • Signal : lien dans le footer. Pour le triage en temps réel ou en cas d'exploitation active.
  • PGP : pas encore publié. On le publiera quand on recevra réellement des rapports sensibles.

Inclus dans ton rapport au minimum : les étapes de reproduction, une estimation de l'impact, l'URL/hostname concerné, et tes coordonnées pour le suivi.

Dans le scope

  • Infrastructure de production : *.internalhost.eu et tout ce qui passe par AS204729 ().
  • Espace client : ce site (Paymenter).
  • Infrastructure mail : mail.internalhost.eu, mx2.internalhost.eu.
  • Notre code source public sur github.com/internalhost-eu.

Hors scope

  • Serveurs clients (VPS / dédié / colocation) : ils appartiennent à nos clients. Pas de test sans autorisation écrite du propriétaire. On se réserve le droit de signaler à la police toute recherche non autorisée sur des IP clientes.
  • Déni de service et attaques volumétriques.
  • Spam, phishing, ingénierie sociale de notre équipe ou de nos clients.
  • Problèmes théoriques sans PoC fonctionnelle.
  • Résultats de scanners automatiques sans vérification manuelle ("ton SSL n'a pas A+ sur Qualys" n'est pas une vulnérabilité).
  • Problèmes en amont dans les projets open source (Laravel, Filament, Paymenter, CloudPanel, etc.) — signale-les directement chez eux.

Ce à quoi on s'engage

  • On répond sous 48 heures, généralement dans les 8 heures ouvrées.
  • On enquête sérieusement et on te tient au courant de l'avancement.
  • On n'engage aucune action en justice contre les chercheurs agissant de bonne foi et suivant cette politique.
  • Les problèmes confirmés obtiennent une mention au hall of fame (si tu le souhaites) et un merci personnel sur Signal de la part de Nick.
  • On patche les vulnérabilités avant divulgation publique. Fenêtre de divulgation par défaut : 90 jours après confirmation, plus courte si exploitation active.

Ce qu'on n'offre pas

Pas de programme de bug-bounty avec primes en cash. On est une petite équipe. Ce que tu reçois :

  • Crédit public sur cette page (ou anonyme, à toi de voir).
  • Du merch InternalHost (dès qu'on en aura).
  • Une vraie conversation sur le bug lui-même, pas sur des priorités dictées par le management.

Hall of fame

Les chercheurs qui nous ont aidés. Merci.

Vide pour l'instant — sois le premier.