Pour les entreprises Pour les particuliers
Vulnerability Disclosure Policy

Divulgation coordonnée des vulnérabilités

Coordinated Vulnerability Disclosure / VDP pour Password Depot

Version du : 10 mars 2026

Signaler une vulnérabilité Security Advisories
Safe Harbor Champ d’application Accusé de réception sous 48 h Coordinated Disclosure
Objet & périmètre

Objet de cette politique

AceBIT GmbH apprécie les signalements de vulnérabilités concernant Password Depot ainsi que les services web liés aux produits et relevant de la responsabilité d’AceBIT. Cette politique décrit comment les chercheurs en sécurité peuvent signaler des vulnérabilités potentielles, quelles règles s’appliquent à la recherche en sécurité et quels engagements AceBIT prend dans le cadre d’une divulgation coordonnée.

Les signalements peuvent être effectués en allemand ou en anglais.

Périmètre

  • Password Depot Enterprise Server
  • Client Windows Password Depot
  • Client macOS Password Depot
  • Client Linux Password Depot
  • Extension de navigateur (Chrome, Edge, Firefox)
  • Applications mobiles (iOS, Android)
  • Services web liés aux produits sur password-depot.de

Y compris les composants tiers, dans la mesure où ils font partie des produits mentionnés.

Non couvert

  • Environnements clients en production, installations spécifiques aux clients et autres systèmes tiers
  • Services ou infrastructures exploités par des tiers qui ne font pas partie de Password Depot
  • Ingénierie sociale, phishing, attaques physiques, spam, force brute, credential stuffing, scans de masse ou tests de déni de service
Safe Harbor

Safe Harbor

Si vous agissez de bonne foi, respectez cette politique, limitez vos tests au périmètre décrit ci-dessus et ne lisez, ne modifiez, ne supprimez ni n’exfiltrez aucune donnée, et ne perturbez aucun service, nous renoncerons – dans la mesure permise par la loi – à toute action civile liée à cette recherche en sécurité.

Dans la mesure où cela relève de notre sphère d’influence et est légalement autorisé, nous ne déposerons pas non plus de plainte pénale pour ce type de recherche en sécurité.

Cela ne s’applique pas aux actes en dehors du périmètre, aux tests visant des systèmes de clients ou d’autres tiers, aux violations de la protection des données, aux perturbations d’exploitation ou à toute autre infraction au droit applicable.

Cette politique n’autorise pas les tests en dehors du périmètre décrit ici.
Directives

Nos attentes envers les chercheurs en sécurité

1 Agissez avec prudence, de bonne foi, et limitez vos tests au strict nécessaire pour démontrer la vulnérabilité de manière vérifiable.
2 N’accédez pas à de véritables données client. Si vous obtenez accidentellement accès à des données sensibles, arrêtez immédiatement le test et informez-nous sans délai.
3 Ne modifiez, ne supprimez, n’exfiltrez et ne publiez aucune donnée.
4 N’effectuez aucun test susceptible d’affecter les systèmes ou les services, ou d’en dégrader la disponibilité.
5 N’utilisez ni ingénierie sociale, ni phishing, ni attaques physiques, et n’installez ni portes dérobées ni mécanismes de persistance.
6 Ne partagez pas publiquement de détails avant que nous ayons défini ensemble une date de publication coordonnée.
Clé PGP

Communication chiffrée

Pour les détails techniques sensibles, veuillez utiliser la clé PGP publique de l’équipe sécurité de Password Depot. Veuillez vérifier l’empreinte de la clé téléchargée avant le chiffrement.

Identité Password Depot Security <security@password-depot.de> Empreinte principale (Ed25519, Sign+Certify) 29D3 2E66 D801 E549 8EFD C944 2D9D 5787 9104 EBAA Sous-clé de chiffrement (Curve25519) 8FC8 9959 3ACD 6D36 4F81 CC19 18A4 0C54 0FD1 0767 Validité Clé principale valable jusqu’au 2031-04-23 · Sous-clé de chiffrement valable jusqu’au 2028-04-23 Téléchargement de la clé https://www.password-depot.de/.well-known/pgp-key.asc

Également accessible via RFC 9116 (security.txt) sous /.well-known/security.txt.

Signalement

Comment signaler une vulnérabilité

Envoyer un signalement

Veuillez envoyer votre signalement à :

security@password-depot.de

Veuillez joindre les éléments suivants

  • Produit, version, build et composant concernés
  • Description de la vulnérabilité
  • Étapes de reproduction / Proof of Concept
  • Évaluation de l’impact et de la gravité
  • Environnement de test, configuration et prérequis
  • Coordonnées et, le cas échéant, souhait d’être mentionné nominativement
Veuillez ne pas envoyer de données à caractère personnel inutiles ni de grands volumes de données provenant d’environnements de production.

Confidentialité

Nous traitons votre signalement et, si vous le souhaitez, votre identité de manière confidentielle, dans la mesure permise par la loi. Nous ne publions votre nom qu’avec votre consentement préalable.

Vos informations ne sont transmises que dans la mesure nécessaire à la vérification, à la correction et à la divulgation coordonnée de la vulnérabilité, ou au respect d’obligations légales.

Processus

Ce qui se passe après votre signalement

Accusé de réception 48 heures Nous confirmons la réception de votre signalement.
Évaluation initiale 7 jours Nous vous indiquons si nous considérons le signalement comme valide, dupliqué, hors périmètre ou actuellement non vérifiable.
Mises à jour régulières tous les 30 jours Nous vous informons de l’état d’avancement du traitement jusqu’à la correction ou jusqu’à la divulgation coordonnée.
Divulgation

Divulgation coordonnée et Security Advisories

Dès qu’une mise à jour de sécurité ou une autre mesure corrective efficace est disponible, nous publions généralement un Security Advisory pour les vulnérabilités confirmées.

Si une publication immédiate risquait de compromettre la sécurité de nos utilisateurs, nous pouvons en reporter la publication à une date appropriée.

Voir les Security Advisories

Un Security Advisory contient au minimum

  • Une description de la vulnérabilité
  • Les produits et versions concernés
  • Impact et niveau de gravité
  • Des indications claires sur la correction ou l’atténuation

Remarque relative aux obligations légales de notification

Si un signalement indique une vulnérabilité activement exploitée ou un incident de sécurité grave, nous pouvons être légalement tenus de transmettre les informations techniques requises aux autorités compétentes, au CSIRT compétent et à ENISA, ainsi que d’informer les utilisateurs concernés.

Nous ne communiquons toutefois votre identité que dans la mesure où la loi l’exige.

Reconnaissance

Nous n’offrons actuellement aucune récompense financière ni aucun paiement de type bug bounty, sauf annonce expresse distincte.

Si vous le souhaitez, nous vous mentionnerons, après correction de la vulnérabilité, dans un Security Advisory ou dans des remerciements. Merci de nous l’indiquer lors de votre signalement.

AceBIT GmbH Schleiermacherstr. 10 · 64283 Darmstadt · Allemagne E-mail : security@password-depot.de
Signaler une vulnérabilité