Securite -- Responsible Disclosure

Programme bug bounty. Reportez. Soyez recompense.

MonIAaMoi recompense les chercheurs en securite qui identifient des vulnerabilites avec divulgation responsable. Safe harbor garanti pour les tests de bonne foi respectant les regles ci-dessous.

Safe harbor

Les tests de bonne foi conformes a ce programme ne donneront pas lieu a des poursuites civiles ou penales de la part de Syntria AI / MonIAaMoi. Cette protection s'etend tant que tu respectes le perimetre, n'exfiltre aucune donnee tierce, et signales rapidement toute decouverte accidentelle hors perimetre.

Perimetre

IN-SCOPE

https://www.moniaamoi.com/* (production)

Toutes les pages publiques + zones authentifiees. Test avec un compte test creé par toi-meme uniquement.

IN-SCOPE

https://nexus-api-119389939581.northamerica-northeast1.run.app/api/*

Endpoints backend FastAPI Cloud Run. Inclut /api/verify, /api/preuves, /api/coherence, /api/admin (auth).

IN-SCOPE

Repos privés Syntria-ai (sur invitation NDA)

nexus-api, nexus-memory, moniaamoi. Acces accordé sur demande motivée pour audit de code.

OUT-OF-SCOPE

Sous-domaines tiers (Vercel preview branches, *.vercel.app)

Les branches preview ephemeres ne sont pas couvertes. Tester uniquement la prod.

OUT-OF-SCOPE

Denial of service (DoS / DDoS) brute force

Hors perimetre. Le rate limiting global (100 req/min/IP) est documenté, pas un bug a exploiter.

OUT-OF-SCOPE

Social engineering / phishing du staff Syntria

Hors perimetre technique. Reportez separement a security@syntria.ai si soupcon.

OUT-OF-SCOPE

Bugs UX / typos / SEO

Pas un risque de securite. Utiliser le formulaire /contact pour ces signalements.

Recompenses

Critique

500 -- 2000 CAD

RCE sur backend Cloud Run
Bypass complet auth Supabase RLS
Lecture de donnees utilisateur d'autres comptes
Exposition de cles API/secrets en prod

Eleve

200 -- 500 CAD

XSS stored sur surface authentifiee
CSRF sur action sensible (delete account, change email)
IDOR sur endpoints admin
Privilege escalation utilisateur standard -> admin

Moyen

75 -- 200 CAD

XSS reflected (avec contournement CSP demontré)
Information disclosure (logs, stack traces avec PII)
Open redirect avec impact phishing
Tampering HMAC /api/verify (preuve de forge)

Faible

25 -- 75 CAD

Headers de securite manquants (HSTS, CSP, etc.)
Rate limit contournable mais sans impact pratique
Self-XSS sans propagation
Documentation de configuration insecure

Les montants sont indicatifs. Le reward final depend de la qualite du report, de la reproductibilite, de l'impact reel, et de la nouveaute de la vulnerabilite. Premier reporter d'un bug duplique = full reward; les duplicates suivants = mention dans le hall of fame uniquement.

Process

1
Trouver
Tester uniquement le perimetre in-scope, avec un compte que tu as cree toi-meme. Ne pas exfiltrer ni modifier des donnees d'autres utilisateurs.
2
Reporter
Email security@syntria.ai avec PoC reproductible (etapes, requetes/responses, screenshots), ton evaluation de severite, et impact estime.
3
Triage 24h
Accuse de reception sous 24h ouvrables. Triage initial sous 72h. Severite confirmee + estimation reward range communiquee.
4
Resolution
Critique: 7j max. Eleve: 14j. Moyen: 30j. Faible: 60j. Communication updates a chaque jalon.
5
Reward + disclosure
Paiement Interac e-Transfer (Canada) ou virement bancaire (international) sous 7j post-fix. Disclosure publique coordonnee 30j post-fix sauf demande contraire.

Contact

Email principal: security@syntria.ai
DPO / privacy: privacy@syntria.ai
Reponse SLA: 24h ouvrables (accuse) / 72h (triage)
Langues acceptees: Francais, Anglais

Regles de bonne conduite

Ne tester que le perimetre in-scope, avec un compte que tu as cree.
Ne pas exfiltrer, lire ou modifier des donnees d'utilisateurs tiers.
Ne pas exploiter au-dela du PoC necessaire pour demontrer l'impact.
Ne pas divulguer publiquement la vulnerabilite avant le delai de fix communique (typiquement 30j post-fix).
Pas de DoS, brute force massif, ou test sur comptes utilisateurs reels.

Safe harbor

Perimetre

IN-SCOPE

https://www.moniaamoi.com/* (production)

Toutes les pages publiques + zones authentifiees. Test avec un compte test creé par toi-meme uniquement.

IN-SCOPE

https://nexus-api-119389939581.northamerica-northeast1.run.app/api/*

Endpoints backend FastAPI Cloud Run. Inclut /api/verify, /api/preuves, /api/coherence, /api/admin (auth).

IN-SCOPE

Repos privés Syntria-ai (sur invitation NDA)

nexus-api, nexus-memory, moniaamoi. Acces accordé sur demande motivée pour audit de code.

OUT-OF-SCOPE

Sous-domaines tiers (Vercel preview branches, *.vercel.app)

Les branches preview ephemeres ne sont pas couvertes. Tester uniquement la prod.

OUT-OF-SCOPE

Denial of service (DoS / DDoS) brute force

Hors perimetre. Le rate limiting global (100 req/min/IP) est documenté, pas un bug a exploiter.

OUT-OF-SCOPE

Social engineering / phishing du staff Syntria

Hors perimetre technique. Reportez separement a security@syntria.ai si soupcon.

OUT-OF-SCOPE

Bugs UX / typos / SEO

Pas un risque de securite. Utiliser le formulaire /contact pour ces signalements.

Recompenses

Critique

500 -- 2000 CAD

RCE sur backend Cloud Run
Bypass complet auth Supabase RLS
Lecture de donnees utilisateur d'autres comptes
Exposition de cles API/secrets en prod

Eleve

200 -- 500 CAD

XSS stored sur surface authentifiee
CSRF sur action sensible (delete account, change email)
IDOR sur endpoints admin
Privilege escalation utilisateur standard -> admin

Moyen

75 -- 200 CAD

XSS reflected (avec contournement CSP demontré)
Information disclosure (logs, stack traces avec PII)
Open redirect avec impact phishing
Tampering HMAC /api/verify (preuve de forge)

Faible

25 -- 75 CAD

Headers de securite manquants (HSTS, CSP, etc.)
Rate limit contournable mais sans impact pratique
Self-XSS sans propagation
Documentation de configuration insecure

Process

Trouver

Tester uniquement le perimetre in-scope, avec un compte que tu as cree toi-meme. Ne pas exfiltrer ni modifier des donnees d'autres utilisateurs.

Reporter

Email security@syntria.ai avec PoC reproductible (etapes, requetes/responses, screenshots), ton evaluation de severite, et impact estime.

Triage 24h

Accuse de reception sous 24h ouvrables. Triage initial sous 72h. Severite confirmee + estimation reward range communiquee.

Resolution

Critique: 7j max. Eleve: 14j. Moyen: 30j. Faible: 60j. Communication updates a chaque jalon.

Reward + disclosure

Paiement Interac e-Transfer (Canada) ou virement bancaire (international) sous 7j post-fix. Disclosure publique coordonnee 30j post-fix sauf demande contraire.

Regles de bonne conduite

Ne tester que le perimetre in-scope, avec un compte que tu as cree.

Ne pas exfiltrer, lire ou modifier des donnees d'utilisateurs tiers.

Ne pas exploiter au-dela du PoC necessaire pour demontrer l'impact.

Ne pas divulguer publiquement la vulnerabilite avant le delai de fix communique (typiquement 30j post-fix).

Pas de DoS, brute force massif, ou test sur comptes utilisateurs reels.