lavie
Commencer
§ Sécurité

Divulgation de vulnérabilités

Dernière mise à jour : 18 mai 2026 · Version 1.0 · English version

Tu as trouvé une faille sur Flavie. Voici comment nous prévenir, ce qu'on couvre, et nos engagements envers toi.

Flavie tient à la sécurité et à la vie privée de ses utilisateurs. On s'appuie sur la communauté des chercheurs en sécurité pour identifier et corriger les vulnérabilités du service. Cette page décrit le périmètre, les règles d'engagement, le process de signalement et nos engagements envers toi si tu agis de bonne foi.

Tu es chercheuse ou chercheur en sécurité

On te demande de :

  • Nous prévenir au plus vite après avoir découvert un problème de sécurité réel ou potentiel, à security@flavie.me.
  • Nous laisser un délai raisonnable pour investiguer et corriger avant toute divulgation publique. On s'engage à accuser réception sous 3 jours ouvrés et à te tenir informé tous les 7 jours jusqu'à résolution.
  • Respecter la vie privée des autres utilisateurs : ne pas accéder, modifier ou supprimer des données qui ne t'appartiennent pas. Utilise uniquement des comptes de test que tu contrôles.
  • Éviter toute dégradation du service : pas d'actions qui dégradent l'expérience utilisateur, épuisent les ressources système ou affectent la production.
  • Limiter l'exploitation au strict minimum nécessaire pour démontrer la vulnérabilité. Pas de pivot vers d'autres systèmes, pas d'escalade de privilèges au-delà du proof-of-concept, pas de maintien de persistance.
  • S'arrêter immédiatement si tu tombes sur des données sensibles (données personnelles, informations financières, tokens OAuth, secrets, code source non public). Garde strictement confidentielles les données auxquelles tu as accédé incidemment et supprime-les dès que le rapport a été pris en compte.
  • Ne pas soumettre un grand volume de rapports de faible qualité, ni des sorties brutes d'outils de scan sans analyse, ni des doublons sur la même cause racine.

Autorisation et safe harbor

Toute recherche menée en conformité avec cette politique est considérée comme autorisée. Flavie ne lancera ni ne soutiendra d'action en justice contre des chercheurs qui agissent de bonne foi dans les limites décrites ici. Ton activité sera traitée comme de la recherche légitime, pas comme une attaque.

Si tu n'es pas certain qu'une activité planifiée tombe dans le périmètre de cette politique, écris d'abord à security@flavie.me.

Périmètre couvert

Cette politique s'applique aux systèmes et services suivants opérés par Adrien Savalle pour Flavie :

  • Le site public https://flavie.me et l'ensemble de ses sous-chemins.
  • La passerelle API https://api.flavie.me (webhook FastAPI Meta WhatsApp Cloud API, webhook Stripe, callback OAuth Google).
  • Le dashboard owner https://app.flavie.me (templates Jinja2, authentification magic-link).
  • Le raccourcisseur d'URL https://flav.ist (Cloudflare Workers).
  • Le service conversationnel Flavie accessible via le numéro WhatsApp partagé +33 7 68 99 74 90 (Meta Cloud API).
  • Le Google Workspace Drive flavie@flavie.me et le service account flavie-drive-writer@flavie-494217.iam.gserviceaccount.com qui y opère.

Hors périmètre

Tout service tiers que Flavie intègre mais ne possède pas : Anthropic, OpenAI, ElevenLabs, Deepgram, Mistral AI (Voxtral), Twilio, les API Google (Drive, Gmail, Calendar, Contacts, Maps, Sheets, Docs), Microsoft 365 (Graph API — Outlook, OneDrive, Excel, Word, Calendar, Contacts), Strava, Apify (LinkedIn / Instagram), Meta WhatsApp Business Platform, Stripe, Scaleway, Cloudflare. Les vulnérabilités sur ces services doivent être remontées directement à l'éditeur concerné.

En revanche, les vulnérabilités affectant le service Flavie via une de ces intégrations (par exemple une faille logique dans la façon dont Flavie utilise un webhook Stripe) sont bien dans le périmètre et doivent nous être signalées.

Tests qui ne sont pas autorisés

Les activités suivantes sont interdites par cette politique, même contre des actifs couverts :

  • Attaques par déni de service réseau (DoS ou DDoS).
  • Tests physiques (accès aux locaux, vol de matériel, talonnage).
  • Ingénierie sociale, phishing ou prétexte contre Adrien Savalle, un sous-traitant ou un tiers.
  • Brute force automatisé contre les endpoints d'authentification (login magic-link, flux OAuth).
  • Inondation du numéro WhatsApp ou des endpoints webhook avec un volume élevé de trafic synthétique.
  • Toute activité qui viole le droit français, le droit européen ou le droit applicable dans ta juridiction.

Comment nous prévenir

Envoie ton rapport par email à security@flavie.me. Les rapports peuvent être soumis anonymement, mais nous fournir un contact nous permet de te poser des questions et de te créditer (si tu le souhaites).

Rapports chiffrés PGP : si tu as besoin de chiffrer, écris d'abord à security@flavie.me pour demander notre clé PGP publique actuelle, on te la renvoie en réponse.

Standard RFC 9116 security.txt également disponible.

Ce qu'on attend dans ton rapport

Pour qu'on puisse trier et reproduire rapidement, merci d'inclure :

  • Une description claire de la vulnérabilité et de l'endpoint ou de la fonctionnalité impactée.
  • L'URL complète, la requête et la réponse qui démontrent le problème.
  • Les étapes pour reproduire : idéalement un proof-of-concept minimal (script, commande curl, enregistrement d'écran).
  • L'impact attendu (exposition de données, escalade de privilèges, déni de service, etc.).
  • Les conditions requises (navigateur spécifique, session authentifiée, état OAuth).
  • Ton nom ou pseudo si tu veux être crédité dans le hall of fame.

Les rapports en français comme en anglais sont les bienvenus.

Nos engagements envers toi

Quand tu nous envoies un rapport :

  • Accusé de réception sous 3 jours ouvrés à l'adresse que tu nous as donnée.
  • Première réponse de fond sous 7 jours ouvrés : notre première évaluation (dans le périmètre / hors périmètre, sévérité, calendrier de remédiation prévu).
  • Mises à jour au moins tous les 7 jours jusqu'à fermeture de la vulnérabilité, ou jusqu'à ce que tu nous demandes d'arrêter le suivi.
  • Crédit public sur flavie.me/security/hall-of-fame si tu le souhaites, une fois la vulnérabilité corrigée et avec ton consentement explicite.
  • Aucune action en justice pour une activité conforme à cette politique menée de bonne foi.

Divulgation coordonnée

Nous fonctionnons en divulgation coordonnée. Une fois le correctif déployé, nous sommes ravis de coordonner avec toi sur un écrit public. Embargo par défaut : 90 jours à compter de la date du rapport, prolongeable par accord mutuel si un correctif demande plus de temps. Après l'embargo, tu es libre de publier.

Si la vulnérabilité est activement exploitée dans la nature, nous pouvons publier un avis de sécurité avant l'expiration de l'embargo : tu seras prévenu en amont.

Hall of fame

Les chercheurs qui signalent des vulnérabilités valides dans le périmètre, et qui consentent à la divulgation, sont listés sur la page publique flavie.me/security/hall-of-fame. Pseudonyme ou identité réelle au choix.

Contact