🔒 Politique de divulgation responsable
Dernière mise à jour : 23 avril 2026
Kreatueur attache une grande importance à la sécurité de sa plateforme et des données de ses utilisateurs.
Si vous avez identifié une vulnérabilité, nous vous remercions de bien vouloir nous la signaler de manière responsable selon les conditions ci-dessous.
1. Champ d'application
Cette politique s'applique aux ressources suivantes appartenant à Kreatueur :
kreatueur.com et tous ses sous-domaines (*.kreatueur.com)- API publiques (
/api/*)
- Mini-sites publics des créateurs (
/public/*)
- Overlays et widgets OBS (
/overlays/*, /widgets/*)
- Intégrations Discord (bots officiels Kreatueur)
2. Engagements du chercheur
En signalant une vulnérabilité dans le cadre de cette politique, vous vous engagez à :
- Signaler la faille uniquement à l'adresse
security@kreatueur.com avant toute divulgation publique
- Nous laisser un délai raisonnable pour corriger la faille (typiquement 90 jours)
- Ne pas exploiter la faille au-delà de ce qui est nécessaire pour la démontrer
- Ne pas accéder, modifier, supprimer ou divulguer les données d'autres utilisateurs
- Ne pas effectuer d'attaque par déni de service (DoS / DDoS)
- Ne pas utiliser de techniques d'ingénierie sociale contre nos employés ou utilisateurs
- Respecter le droit applicable (français)
3. Engagements de Kreatueur
En contrepartie, Kreatueur s'engage à :
- Accuser réception de votre rapport sous 72 heures ouvrées
- Vous tenir informé régulièrement de l'avancement de la correction
- Corriger la vulnérabilité dans un délai raisonnable selon sa gravité (Critical : 7j / High : 30j / Medium : 90j / Low : best effort)
- Ne pas engager de poursuites judiciaires contre les chercheurs respectant cette politique de bonne foi (safe harbor)
- Vous remercier publiquement dans notre Hall of Fame (avec votre accord)
4. Format recommandé pour votre rapport
Pour faciliter l'analyse et la correction, merci de fournir :
- Type de vulnérabilité (XSS, CSRF, IDOR, SQLi, RCE, etc.)
- URL ou endpoint concerné
- Étapes pour reproduire (proof of concept détaillée)
- Impact estimé (qui est affecté, gravité, scénarios d'exploitation)
- Recommandation de correction (si vous en avez une)
- Vos coordonnées pour les remerciements (optionnel)
5. Hors périmètre
Les éléments suivants ne relèvent pas de cette politique :
- Vulnérabilités sur des services tiers (Twitch API, Stripe, Discord, etc.) — signalez-les directement à l'éditeur concerné
- Failles nécessitant un accès physique aux serveurs
- Ingénierie sociale, phishing
- Vulnérabilités dans des bibliothèques tierces déjà connues sans exploit spécifique à Kreatueur
- Rapports de scanners automatisés sans démonstration d'exploit
- Manque de header HTTP de sécurité sans démonstration d'impact
- Configurations email (SPF, DKIM, DMARC) sans exploit démontré
6. Récompenses
Kreatueur n'a actuellement pas de programme de bug bounty rémunéré.
Nous remercions chaleureusement les chercheurs dans notre Hall of Fame public et envoyons un goodie Kreatueur pour les rapports significatifs (Critical / High).
Un programme bug bounty officiel sera lancé courant 2026 sur YesWeHack ou HackerOne, avec des récompenses
financières adaptées à la gravité des vulnérabilités.
7. Safe Harbor
Conformément aux principes du Safe Harbor, Kreatueur s'engage à ne pas engager de poursuites judiciaires
contre les chercheurs qui respectent cette politique de bonne foi, conformément à la loi pour une République numérique
(loi n° 2016-1321 du 7 octobre 2016, article 47).
8. Fichier RFC 9116
Conformément au standard RFC 9116,
nous publions un fichier security.txt à la racine de notre site :
9. Documents légaux associés
10. Contact