Politique de sécurité

Si vous pensez avoir découvert une vulnérabilité de sécurité dans TALQOR, nous vous remercions de nous la signaler de manière responsable et avant toute divulgation publique.

Canal préféré : security@talqor.fr — chiffrement PGP optionnel (clé publique sur demande).

Merci d'inclure dans votre rapport :

• Une description claire de la vulnérabilité et de son impact potentiel
• Les étapes pour reproduire (URL, payloads, captures)
• Votre nom ou pseudonyme pour la mention dans notre hall of thanks (optionnel)
• Toute information complémentaire utile (CVE associée, outil utilisé, etc.)

Ne pas créer d'issue GitHub publique pour une vulnérabilité de sécurité.

In-scope

• Application web TALQOR : https://app.talqor.fr et sous-domaines
• Application mobile TALQOR (iOS / Android)
• API publiques exposées sous /api/*
• Pages publiques /legal/*, /privacy, /data-deletion-status

Out-of-scope

• Infrastructure tierce non administrée par TALQOR (Vercel, Supabase, Cloudflare R2, Anthropic, OpenAI, Google API, Meta API, LinkedIn API) — à signaler directement aux éditeurs concernés
• Vulnérabilités déjà connues et publiques sans nouvelle information exploitable
• Vulnérabilités nécessitant un accès physique à l'appareil de l'utilisateur
• Reports issus de scanners automatisés non triés (Nessus brut, Burp Scanner brut)
• Issues de configuration côté utilisateur (mot de passe faible, partage volontaire de session)
• Spam ou abus social (à signaler au support : contact@talqor.fr)
• Self-XSS (nécessite que la victime exécute du code dans sa propre console)
• Clickjacking sur pages sans action sensible
• Énumération d'emails sans impact de confidentialité (les emails publics par construction)

Nous nous engageons à :

1. Accuser réception de tout rapport sous 72 heures ouvrées.
2. Évaluer la sévérité selon CVSS v3.1 et confirmer la classification sous 7 jours ouvrés.
3. Communiquer un plan de remédiation dans les SLA suivants :

4. Tenir informé le rapporteur à chaque étape (triage, fix dev, déploiement, fermeture).
5. Créditer publiquement le rapporteur dans nos release notes ou un hall of thanks dédié, sauf demande contraire.
6. Ne pas engager de poursuites judiciaires contre les rapporteurs qui respectent cette politique (recherche en bonne foi, pas d'accès au-delà du nécessaire, pas de destruction ni d'exfiltration massive de données utilisateurs).

Pour bénéficier du Safe Harbor TALQOR, vos tests doivent respecter les règles suivantes :

• N'accéder qu'aux données strictement nécessaires pour démontrer la vulnérabilité.
• Ne jamais modifier, supprimer ou exfiltrer des données d'autres utilisateurs.
• Ne jamais publier publiquement la vulnérabilité avant la fin du délai de remédiation convenu.
• Ne pas mener d'attaque DoS / brute force agressive contre les services de production.
• Ne pas utiliser de phishing, ingénierie sociale, ou accès physique pour obtenir des informations.
• Privilégier les comptes de test : un compte sandbox peut être fourni sur demande à security@talqor.fr.

TALQOR n'a pas de programme de bug bounty rémunéré à ce jour. Nous offrons :

• Mention publique (release notes, hall of thanks)
• Goodies TALQOR sur les vulnérabilités significatives (High / Critical)
• Lettres de recommandation pour les chercheurs en sécurité

Un programme rémunéré pourra être mis en place ultérieurement selon l'évolution de notre maturité produit.

TALQOR pratique la divulgation coordonnée : après avoir corrigé une vulnérabilité, nous publions une release note décrivant brièvement la classe du problème (sans détails exploitables), créditons le rapporteur si souhaité, et laissons un délai raisonnable avant toute publication détaillée du rapporteur.

Pour les vulnérabilités affectant des dépendances tierces (CVE upstream), nous suivons le calendrier de divulgation du vendeur amont.

Pour information des chercheurs et auditeurs, TALQOR applique notamment :

• Chiffrement au repos : AES-256-GCM (auth tag 128 bits) sur tous les jetons OAuth (Google, Microsoft, Meta, LinkedIn, WhatsApp) et passwords IMAP, clé gérée hors-DB.
• Chiffrement en transit : HTTPS partout, HSTS avec preload, TLS 1.2 minimum.
• En-têtes HTTP de sécurité : CSP stricte, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy.
• Authentification : Supabase Auth + magic link admin signé HMAC-SHA256 (cookie 12h), CSRF state sur 6 callbacks OAuth, rate limit anti-bruteforce sur signup et reset password.
• Webhooks externes : signature HMAC vérifiée en temps constant (Stripe, Meta, WhatsApp, Instagram, Facebook) ou JWT OIDC (Google Pub/Sub).
• Isolation multi-tenant : toutes les routes API filtrent par workspaceId / userId, refus 404 sur cross-workspace access.
• Rétention bornée : 90 jours pour les données issues de Gmail / IMAP (cron de purge quotidien), cf. Politique de confidentialité §5 bis.
• Audit trail per-user sur les accès aux APIs Google (Gmail, Drive, Calendar) — exigence Limited Use.
• Logs sans PII : Sentry beforeSend scrubbe email, téléphone, IBAN, jetons API avant export.
• Surveillance dépendances : Dependabot security updates + alerts activés ; workflow GitHub Actions security-scan hebdomadaire (gitleaks + npm audit).
• Backups : dumps PostgreSQL quotidiens chiffrés AES-256-CBC (PBKDF2 100 000 itérations) avant push Cloudflare R2, rétention 14 jours.

Les documents suivants sont disponibles pour les auditeurs habilités (CASA Tier 2, audits B2B clients enterprise) sur demande motivée à security@talqor.fr:

• Politique de rétention des données (data retention policy)
• Plan de réponse aux incidents (incident response plan)
• Politique de gestion des vulnérabilités (vulnerability management)
• Politique de contrôle d'accès (access control policy)
• Politique de gestion des clés de chiffrement (encryption key management)
• Liste détaillée des sous-traitants (DPA — RGPD article 28)