Programme bug bounty

La sécurité, c'est
un travail d'équipe.

Vous avez trouvé une vulnérabilité ? On la corrige, on vous remercie publiquement, et on vous récompense.

security@immozil.com security.txt

Sans DoS

Pas d'attaque par déni de service ni de scan agressif (rate < 10 req/s).

Données minimales

Un PoC sur un compte de test suffit — n'accédez pas aux données de tiers.

Divulgation responsable

Délai de 90 jours par défaut entre signalement et publication.

Dans le périmètre

*.immozil.com (web, app, API)
Apps mobiles iOS / Android (binaires distribués)
API publique partenaires (api.immozil.com/v1)
Infrastructure d'hébergement Immozil

Hors périmètre

Ingénierie sociale d'employés ou clients
Vulnérabilités dans des dépendances tierces sans exploitation démontrée
Faiblesses connues dans des en-têtes informatifs
CSP en mode report-only sur des domaines de test

Récompenses

Évaluées au cas par cas selon CVSS et impact réel.

Sévérité	Montant	Exemples
Critique	1 500 — 5 000 USD	RCE, exfiltration massive, contournement auth
Haute	500 — 1 500 USD	IDOR sur données sensibles, XSS authentifié
Moyenne	100 — 500 USD	CSRF, redirection ouverte, leak limité
Basse	Hall of Fame	Erreurs de configuration mineures

Hall of Fame

Les chercheurs qui nous ont aidés à rester sûrs.

Hamza B.

2026

Wassim K.

2026

Nada R.

2026

Vous suspectez un compte compromis ?

Si vous pensez que votre compte ou celui d'un client a été piraté, écrivez à abuse@immozil.com en priorité.

Politique données

Conforme au standard RFC 9116.

Programme bug bounty

La sécurité, c'est
un travail d'équipe.

Vous avez trouvé une vulnérabilité ? On la corrige, on vous remercie publiquement, et on vous récompense.

security@immozil.com security.txt

Sans DoS

Pas d'attaque par déni de service ni de scan agressif (rate < 10 req/s).

Données minimales

Un PoC sur un compte de test suffit — n'accédez pas aux données de tiers.

Divulgation responsable

Délai de 90 jours par défaut entre signalement et publication.

Dans le périmètre

*.immozil.com (web, app, API)
Apps mobiles iOS / Android (binaires distribués)
API publique partenaires (api.immozil.com/v1)
Infrastructure d'hébergement Immozil

Hors périmètre

Ingénierie sociale d'employés ou clients
Vulnérabilités dans des dépendances tierces sans exploitation démontrée
Faiblesses connues dans des en-têtes informatifs
CSP en mode report-only sur des domaines de test

Récompenses

Évaluées au cas par cas selon CVSS et impact réel.

Sévérité	Montant	Exemples
Critique	1 500 — 5 000 USD	RCE, exfiltration massive, contournement auth
Haute	500 — 1 500 USD	IDOR sur données sensibles, XSS authentifié
Moyenne	100 — 500 USD	CSRF, redirection ouverte, leak limité
Basse	Hall of Fame	Erreurs de configuration mineures

Hall of Fame

Les chercheurs qui nous ont aidés à rester sûrs.

Hamza B.

2026

Wassim K.

2026

Nada R.

2026

Vous suspectez un compte compromis ?

Si vous pensez que votre compte ou celui d'un client a été piraté, écrivez à abuse@immozil.com en priorité.

Politique données

Conforme au standard RFC 9116.

La sécurité, c'estun travail d'équipe.

Dans le périmètre

Hors périmètre

Récompenses

Hall of Fame

La sécurité, c'estun travail d'équipe.

Dans le périmètre

Hors périmètre

Récompenses

Hall of Fame

La sécurité, c'est
un travail d'équipe.

La sécurité, c'est
un travail d'équipe.