Sécurité Posture & divulgation responsable

Sécurité SignalNids

Protection des données, sécurité des comptes et politique de divulgation responsable : voici comment nous sécurisons SignalNids et comment nous signaler une vulnérabilité.

Cette page s’adresse autant aux utilisateurs qu’aux personnes souhaitant nous aider à améliorer la sécurité de la plateforme.

Ce que nous faisons au quotidien

SignalNids est conçu comme un service public numérique : nous appliquons en priorité les bonnes pratiques de sécurité, tout en gardant une architecture simple et auditable.

Chiffrement

HTTPS/TLS 1.2+ partout. Mots de passe hachés argon2id (ou bcrypt) avec sel unique par compte.

Backups

Sauvegardes quotidiennes des bases et fichiers, avec tests réguliers de restauration.

Journalisation

Logs d’accès et d’erreurs surveillés, alertes en cas d’anomalie ou de pic d’erreurs.

Mises à jour

Correctifs de sécurité appliqués en priorité sur le système, le serveur web et le code applicatif.

  • SQL & CSRF : requêtes préparées, filtres côté serveur, jetons CSRF sur les actions sensibles.
  • Session : cookies HttpOnly Secure, rotation de session après login.
  • Uploads : contrôle type/poids, stockage isolé, noms aléatoires, pas d’exécution.
  • Anti-abus : limitations sur les formulaires publics et protections antispam.

Protection des comptes

Les comptes SignalNids sont la porte d’entrée vers les signalements, les dashboards pros et mairie : leur sécurité est une priorité.

Connexions & mots de passe

  • Cookies de session sécurisés, invalidation en cas de logout ou de changement de mot de passe.
  • Mots de passe hachés avec argon2id (ou bcrypt), jamais stockés en clair.
  • Limitation des tentatives de connexion et messages d’erreur neutres.

Contrôle utilisateur

  • Possibilité de demander l’export et la suppression de vos données.
  • Déconnexion de tous les appareils en cas de suspicion d’accès non autorisé.
  • Support de l’authentification à double facteur (TOTP) en cours de déploiement.

Architecture & données

Hébergement

Serveurs situés en UE, accès SSH restreint, principe du moindre privilège pour les comptes systèmes.

Données

Chiffrement en transit, séparation des environnements (prod / préprod / dev), accès aux données limité aux besoins.

Journalisation

Traçabilité des accès sensibles et actions d’administration. Rétention courte puis agrégation pour la métrologie.

Disponibilité

Surveillance de la disponibilité et alertes en cas d’incident. Consultez /status pour l’état du service.

Divulgation responsable

Si vous pensez avoir trouvé une vulnérabilité, nous vous invitons à nous la signaler dans un cadre clair, respectueux des utilisateurs et du service.

1) Portée

La politique couvre tout sous-domaine signalnids.fr et nos applications associées. Sont exclus : services tiers hors de notre contrôle, attaques par déni de service, spam et bugs propres aux navigateurs.

2) Bonnes pratiques
  • Pas d’exploitation prolongée ni d’accès aux données d’utilisateurs réels.
  • Pas d’interruption de service volontaire (pas de tests de charge ni de flood).
  • Respect de la confidentialité : partage des détails uniquement avec notre équipe.
3) Nous signaler une vulnérabilité

Envoyez un e-mail à security@signalnids.fr avec :

  • Une description claire de la vulnérabilité et du scénario d’exploitation.
  • Les étapes de reproduction (captures/logs si possible).
  • L’impact potentiel et vos recommandations.

Nous répondons en général sous 3 jours ouvrés et vous tenons informé des suites.

4) Safe-harbor

Si vous respectez cette politique, nous ne prendrons pas d’action légale contre vous pour la recherche effectuée de bonne foi. Évitez toute exfiltration de données et interrompez vos tests dès qu’un impact réel est constaté.

Bug bounty : pas (encore) de programme de prime officiel. Nous pouvons vous mentionner dans un Hall of Fame sur simple demande en cas de signalement valide.

Chiffrement & security.txt

Pour les échanges sensibles, vous pouvez utiliser le chiffrement PGP. Un fichier /.well-known/security.txt documente également nos points de contact.

🔐
PGP – Empreinte : ABCD E123 4567 89EF 0123 4567 89AB CDEF 0123 4567
📄
security.txt – entrée typique :
Contact: mailto:security@signalnids.fr
Expires: 2026-12-31T23:59:59Z 
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: OpenPGP

mQENBGXXXXYBCAC3......................................................
=abcd
-----END PGP PUBLIC KEY BLOCK-----

Exemple de fichier /.well-known/security.txt à la racine d’un site : 

Contact: mailto:security@signalnids.fr
Encryption: https://signalnids.fr/pgp.txt
Policy: https://signalnids.fr/securite/
Expires: 2026-12-31T23:59:59Z

FAQ sécurité (rapide)

Où sont stockées mes données ?
En UE. Sauvegardes quotidiennes chiffrées côté serveur, rétention limitée.
Quelles données personnelles sont visibles publiquement ?
Les signalements affichent la ville, la position approximative, l’intensité et le commentaire. Les informations de compte (e-mail, téléphone) ne sont pas publiques.
Combien de temps conservons-nous les logs ?
Les logs d’accès sont conservés brièvement pour le diagnostic et l’anti-abus, puis agrégés sous forme de statistiques anonymisées.