Sécurité — notre engagement

Protection des données, sécurité des comptes et politique de divulgation responsable. Voici comment nous protégeons SignalNids et comment nous signaler une vulnérabilité.

Ce que nous faisons au quotidien

Chiffrement HTTPS/TLS 1.2+ partout, mots de passe hachés (argon2id/bcrypt).
Backups Sauvegardes quotidiennes + tests de restauration.
Journalisation Logs d’accès/erreurs, alertes en cas d’anomalie.
Mises à jour Correctifs de sécurité appliqués en priorité.
SQL & CSRF : requêtes préparées, jetons CSRF sur les actions sensibles.
Session : cookies HttpOnly Secure, rotation de session après login.
Uploads : contrôle type/poids, stockage isolé, noms aléatoires, pas d’exécution.
Limitation d’abus : rate-limit sur API publiques et antispam côté formulaire.

Protection des comptes

ConnexionCookies sécurisés, verrouillage après essais multiples, déconnexion à la demande.
Mots de passeHachage argon2id (ou bcrypt) avec sel unique par compte.
2FASupport TOTP en cours de déploiement (applications Authenticator).
Export & suppressionTéléchargement de vos données et suppression du compte sur simple demande.

Architecture & données

HébergementServeurs en UE. Pare-feu applicatif, accès SSH restreint, clés tournantes.
DonnéesChiffrement en transit, compartimentation par environnement, principe du moindre privilège.
JournalisationAccès, erreurs, actions d’admin ; rétention courte, données agrégées pour la métrologie.
DisponibilitéSurveillance 24/7 et alertes ; voir /status pour l’état du service.

Divulgation responsable

1) Portée

Tout sous-domaine signalnids.fr et nos applications associées. Sont exclus : tiers hors contrôle, DOS à grande échelle, spam, problèmes liés aux navigateurs.

2) Bonnes pratiques
  • Pas d’impact sur les utilisateurs : pas d’accès non autorisé à des données personnelles réelles.
  • Pas d’interruption de service : évitez le déni de service ou le flood.
  • Respectez la confidentialité : partagez uniquement avec notre équipe.
3) Nous signaler une vulnérabilité

Envoyez-nous un e-mail à security@signalnids.fr avec :

  • Une description claire + scénarios d’exploitation
  • Étapes de reproduction (captures/logs si possible)
  • Impact potentiel et recommandations

Nous répondons sous 3 jours ouvrés et vous tenons informé. Merci 🙏

4) Safe-harbor

Si vous respectez cette politique, nous ne prendrons pas d’action légale. Évitez toute exfiltration de données, l’accès prolongé et l’interruption du service.

Bug bounty : pas (encore) de programme prime officiel. Nous créditons publiquement (Hall of Fame) les signalements valides avec votre accord.

Chiffrement & security.txt

Vous pouvez nous contacter de manière chiffrée. Nous publions également un fichier /.well-known/security.txt.

🔐
PGP – Empreinte : ABCD E123 4567 89EF 0123 4567 89AB CDEF 0123 4567
📄
security.txtContact: mailto:security@signalnids.frExpires: 2026-12-31T23:59:59Z
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: OpenPGP

mQENBGXXXXYBCAC3......................................................
=abcd
-----END PGP PUBLIC KEY BLOCK-----

Placez également un fichier à /.well-known/security.txt avec vos coordonnées. Exemple :

Contact: mailto:security@signalnids.fr
Encryption: https://signalnids.fr/pgp.txt
Policy: https://signalnids.fr/securite/
Expires: 2026-12-31T23:59:59Z

FAQ sécurité (rapide)

Où sont stockées mes données ?
En UE. Sauvegardes quotidiennes chiffrées côté serveur, rétention limitée.
Quelles données personnelles sont visibles publiquement ?
Les signalements affichent la ville, latitude/longitude, intensité, commentaire. Les informations de compte (e-mail, téléphone) ne sont pas publiques.
Combien de temps conservons-nous les logs ?
Les logs d’accès sont conservés brièvement (diagnostic/anti-abus), puis agrégés.