FerrLens

FerrLens · Légal

Sécurité et divulgation de vulnérabilités

Mise à jour · 2026-05-17

Si vous avez trouvé un problème de sécurité dans FerrLens — XSS, RCE, SSRF dans le vérificateur SEO, fuite de snapshots partagés, etc. — merci de nous le dire. Nous vous remercions, nous corrigeons vite, et nous vous créditons publiquement si vous le souhaitez.

Comment signaler

Email : security@ferrlabs.com. Optionnellement chiffré avec notre clé PGP — empreinte 2D 7F 5B 19 4C 38 91 C2 03 6E B8 1A 4D F0 9E 22, récupérable sur keys.openpgp.org.

Merci de préciser :

  • La classe de vulnérabilité (XSS / SSRF / IDOR / cache poisoning / etc.) et l'URL affectée.
  • Les étapes pour reproduire. Un PoC fonctionnel nous fait gagner des heures.
  • Si vous avez divulgué ailleurs.
  • Comment vous souhaitez être crédité (vrai nom, pseudo, anonyme).

Nos engagements

  • Accusé de réception sous 24 heures. Un vrai humain lit votre email et répond.
  • Triage sous 5 jours ouvrés. Nous confirmons s'il s'agit d'un problème valide, la sévérité, et une date de fix cible.
  • Aucune action en justice contre la recherche de bonne foi. Si vous restez dans le scope ci-dessous et ne dégradez pas le service pour les autres utilisateurs, vous n'avez rien à craindre.
  • Crédit si vous le voulez. Nous vous ajoutons à un Hall of Fame sécurité sur cette page, avec le nom et le lien de votre choix.

Dans le scope

  • ferrlens.com et tous les sous-domaines.
  • api.ferrlens.com et tout endpoint documenté.
  • Le code source Rust à github.com/FerrLabs/FerrLens-Cloud.
  • Les images de containers à ghcr.io/ferrlabs/ferrlens-cloud/*.

Hors scope

  • Vulnérabilités dans des services tiers (Google PageSpeed Insights, Let's Encrypt, Stripe) — signalez-les directement à eux.
  • Contournement du rate-limit via les offres payantes légitimes (Pro / Team) — c'est tout l'intérêt de ces offres.
  • Social engineering du personnel FerrLabs ou des utilisateurs.
  • Attaques physiques contre nos serveurs.
  • Déni de service / attaques volumétriques — merci de ne pas le faire.
  • Rapports purement sur l'absence d'en-têtes de sécurité sans démonstration d'exploit concret.

Bounty

Nous ne payons pas encore de bounties en cash — trop tôt. Nous envoyons un petit remerciement (stickers FerrLens, mot manuscrit, et un an de Pro offert). Quand le chiffre nous permettra de lancer un vrai programme, cette page le précisera et nous rétro-paierons les rapporteurs qui ont patienté.

Hall of Fame

Vide pour l'instant. Soyez le premier à y figurer.