Politique de divulgation des vulnérabilités

Date d'entrée en vigueur : 9 mai 2026

Yarbo (« nous », « notre » ou « nos ») encourage les recherches responsables menées par la communauté mondiale de la sécurité. Nous encourageons les chercheurs en sécurité à identifier et à divulguer de manière responsable les vulnérabilités affectant nos produits, applications et infrastructure cloud officiels. La présente politique de divulgation des vulnérabilités (« Politique ») définit le champ d'application valable des recherches, les protections de la clause de sécurité, les exigences en matière de signalement, les procédures de réponse et les règles de divulgation publique pour tous les chercheurs qui signalent des problèmes de sécurité à Yarbo.

1. Notre engagement

Nous nous engageons à maintenir la sécurité, la stabilité et la protection de la vie privée de tous les produits et services de Yarbo. Nous apprécions sincèrement les efforts des chercheurs en sécurité indépendants et de la communauté de la sécurité qui nous aident à améliorer continuellement notre posture de sécurité.
Nous nous engageons à respecter les pratiques suivantes pour tous les rapports de vulnérabilité valides :
  • Accuser réception de votre rapport dans les meilleurs délais
  • Procéder à une enquête technique complète et approfondie
  • Développer, tester et publier des correctifs de sécurité
  • Maintenir une communication transparente tout au long du processus de correction
  • Respecter les règles de divulgation coordonnée et les contributions des chercheurs

2. Portée de la recherche autorisée (dans le champ d'application)

Vous pouvez mener des recherches de sécurité limitées, non destructrices et de bonne foi sur les actifs suivants appartenant à Yarbo :
  • Domaines et services cloud :Tous les sites web officiels mondiaux et régionaux, les plateformes cloud, les interfaces de service et autres points de terminaison métier officiellement exploités dans l'écosystème de domaines Yarbo, y compris tous les sous-domaines et points de terminaison de service sous *.yarbo.com.
  • Applications officielles : Applications mobiles Yarbo pour iOS et Android, portails web officiels et systèmes de gestion backend développés en interne et faisant l'objet d'une maintenance active.
  • Produits matériels: Tous les appareils intelligents Yarbo officiellement commercialisés et faisant l'objet d'un cycle de maintenance de sécurité, y compris les robots tondeuses intelligents, les robots déneigeurs, les souffleurs de feuilles et les appareils intelligents d'extérieur associés, couvrant le micrologiciel des appareils, les systèmes embarqués et les protocoles de communication entre les appareils et le cloud.
  • API publiques: Interfaces de programmation d'applications accessibles au public au service des produits et plateformes officiels de Yarbo.

3. Champ d'application interdit (hors champ d'application)

Les éléments et activités suivants ne sont pas autorisés en vertu de la présente politique. Les rapports provenant des scénarios suivants ne seront pas acceptés et ne sont pas admissibles à la protection de la clause de sécurité :
  • Plateformes tierces, SDK tiers, composants open source et systèmes hors Yarbo
  • Produits et services ayant qui ont été abandonnés, dont la vente a pris fin ou qui sont en fin de vie sans maintenance officielle
  • Tests d'ingénierie sociale, de phishing, de prétexting ou d'intrusion physique
  • Démontage physique, altération du matériel, sondage de puces ou tests physiques destructifs
  • Déni de service distribué, inondation de trafic, attaques par force brute ou tout test provoquant une instabilité du service, une dégradation des performances ou une interruption du service
  • Rapports en double, vulnérabilités connues du public et problèmes causés par une mauvaise utilisation de l'utilisateur
  • Vulnérabilités sans étapes reproductibles, sans impact valable ou sans risque de sécurité

4. Clause de sécurité

Yarbo n'engagera aucune action en justice à l'encontre des chercheurs en sécurité qui mènent des recherches en la matière dans le strict respect de la présente politique. Vous bénéficiez de la protection de la clause de sécurité si vous :
  • Agissez de bonne foi et uniquement dans le but de signaler des risques de sécurité à Yarbo
  • N'accédez pas, ne modifiez pas, ne stockez pas et n'exfiltrez pas de données à caractère personnel d'utilisateurs, d'informations sensibles ou de données confidentielles de Yarbo au-delà du strict nécessaire de la vérification de la vulnérabilité
  • Ne perturbez pas la disponibilité du système, n'endommagez pas les appareils, ne compromettez pas la sécurité publique et ne portez pas atteinte aux intérêts des utilisateurs
  • Ne divulguez aucun détail concernant une vulnérabilité non corrigée sans autorisation écrite officielle
  • Coopérez avec l'équipe de sécurité de Yarbo pendant l'enquête et la correction
Tout comportement dépassant le cadre d'une recherche de sécurité de bonne foi annulera la protection offerte par la clause de sécurité.

5. Modalités de signalement d'une vulnérabilité

Veuillez envoyer tous les rapports de vulnérabilité à notre adresse e-mail officielle dédiée à la sécurité : security@yarbo.com
Afin d'aider notre équipe à valider et à résoudre efficacement votre rapport, votre soumission doit inclure :
  • Une description claire et détaillée de la vulnérabilité et de son impact potentiel sur la sécurité
  • Des instructions complètes, étape par étape, pour reproduire le problème
  • Une preuve de concept (PoC) non destructive qui n'entraîne pas de perte de données, de panne de service ou de dommage matériel
  • Des informations détaillées sur les ressources concernées, notamment l'URL, le point de terminaison API, la version de l'application, le modèle de l'appareil et la version du micrologiciel
  • Des preuves à l'appui, telles que des captures d'écran, des journaux ou des enregistrements d'écran
  • Le nom que vous souhaitez voir apparaître dans la reconnaissance publique (facultatif)

6. Clause de sécurité pour les tiers

  • Si vous soumettez un rapport de vulnérabilité valide concernant un service tiers intégré aux produits et à l'infrastructure de Yarbo, nous contrôlerons strictement la divulgation et le partage du contenu de votre rapport avec le tiers concerné. Nous pouvons partager des informations qui ne sont pas d'identification extraites de votre rapport de vulnérabilité avec le tiers concerné afin de faciliter la correction de la vulnérabilité, mais uniquement après vous avoir officiellement notifié notre intention et obtenu un engagement écrit de la part du tiers stipulant qu'il n'engagera aucune procédure judiciaire ni ne contactera les autorités à votre encontre sur la base du rapport que vous avez soumis. Nous ne partagerons jamais vos informations personnelles identifiables avec un tiers concerné sans votre accord écrit explicite.
  • Veuillez noter que la présente Politique n'autorise aucun test de sécurité sur des systèmes et services tiers hors du champ d'application. Tout test ciblant des plateformes tierces indépendantes n'est pas couvert par les protections de la présente Politique. Avant de mener toute recherche de sécurité sur des services tiers, vous devez vous référer à la politique officielle de divulgation des vulnérabilités du tiers (si disponible) ou contacter le tiers directement ou par l'intermédiaire d'un représentant légal afin d'obtenir une autorisation légitime. Aucune disposition de la présente Politique ne saurait être interprétée comme un engagement de la part de Yarbo à vous défendre, vous indemniser ou vous protéger de toute réclamation, tout litige ou toute action en justice intentés par des tiers à la suite de vos activités de recherche en matière de sécurité.
  • Si un tiers ou les forces de l'ordre engagent une action en justice à votre encontre uniquement en raison de vos recherches de sécurité et de votre divulgation de vulnérabilités conformément à la présente Politique, et si vous avez agi de bonne foi et respecté toutes les conditions des présentes (sans violation intentionnelle ou malveillante), nous prendrons des mesures raisonnables pour vérifier et confirmer que vos actions ont été menées conformément à nos règles officielles de divulgation des vulnérabilités. Tous les rapports de vulnérabilité valides que vous soumettez sont traités par Yarbo comme des documents confidentiels et potentiellement protégés par le secret professionnel, et nous nous opposerons à la divulgation forcée de ces informations dans toute la mesure permise par la loi applicable. Néanmoins, vous reconnaissez qu'un tribunal compétent peut émettre une ordonnance de divulgation obligatoire malgré nos objections.

7. Mises à jour de la politique

Yarbo se réserve le droit de mettre à jour la présente Politique de divulgation des vulnérabilités à tout moment. Toutes les mises à jour seront publiées sur la page de sécurité de notre site web officiel. La poursuite des recherches en matière de sécurité et la soumission de vulnérabilités après les mises à jour de la politique constituent une acceptation de la dernière version des conditions.

8. Contact

Pour les rapports de vulnérabilité, les demandes relatives à la sécurité et les recours concernant la politique, veuillez nous contacter à l'adresse suivante: security@yarbo.com