Securite

Nous prenons tres au serieux la securite de LumenLingo et de vos donnees. Si vous decouvrez une vulnerabilite, nous voulons en etre informes.

Ce document est disponible en plusieurs langues. En cas de conflit ou d'incohérence entre les versions traduites, la version anglaise prévaudra. Voir la version anglaise

Signaler une vulnerabilite

Si vous pensez avoir trouve une vulnerabilite de securite dans LumenLingo, signalez-la de maniere responsable en envoyant un e-mail a .

Veuillez inclure autant de details que possible : une description de la vulnerabilite, les etapes pour la reproduire, l'impact potentiel et tout code de preuve de concept ou captures d'ecran.

Nous publions egalement un fichier security.txt lisible par les machines conformement a la RFC 9116.

Portee

Dans le champ d'application

  • Le site web LumenLingo (lumenlingo.com) et tous les sous-domaines
  • Les points d'acces API sous lumenlingo.com/api/*
  • L'application iOS LumenLingo
  • Les failles d'authentification et d'autorisation
  • Les vulnerabilites de cross-site scripting (XSS), d'injection et de CSRF
  • Server-side request forgery (SSRF)
  • L'exposition de donnees sensibles

Hors du champ d'application

  • L'ingenierie sociale (hameconnage, hameconnage vocal) contre les employes de Lumenshore
  • Les attaques par deni de service (DoS/DDoS)
  • Les attaques physiques contre les bureaux ou l'infrastructure de Lumenshore
  • Les vulnerabilites dans les services tiers (Apple, Vercel, Sentry) — signalez-les au fournisseur concerne
  • Le scan automatise sans approbation prealable
  • Le spam, la manipulation SEO ou l'injection de contenu n'affectant pas la securite

Notre reponse

Nous nous engageons sur le calendrier de reponse suivant :

  • Accusé de reception — sous 48 heures apres votre signalement
  • Evaluation initiale — sous 5 jours ouvrables
  • Objectif de resolution — sous 30 jours pour les problemes critiques, 90 jours pour les non-critiques
  • Notification — nous vous informerons lorsque le probleme sera resolu

Nous vous tiendrons informe de nos progres et pourrons vous demander des informations supplementaires pour aider a reproduire ou resoudre le probleme.

Sphare de securite

Nous n'engagerons pas de poursuites judiciaires contre les chercheurs en securite qui :

  • Agissent de bonne foi et respectent cette politique de divulgation
  • Evitent d'acceder aux donnees d'autres utilisateurs ou de les modifier
  • Ne degradent pas le service (pas de DoS, pas de tests destructifs)
  • Signalent les vulnerabilites rapidement et ne les divulguent pas publiquement avant que nous ayons eu une opportunite raisonnable de les traiter

Si vous suivez ces directives, nous considerons votre recherche comme autorisee et n'engagerons pas d'action civile ou penale liee a vos decouvertes.

Contact

Pour les signalements de securite :

Pour le support general :

Langue preferee : anglais