Cadre juridique HEELONYS
Politique de securite
Divulgation responsable, contact securite et principes d'assurance appliques a HeelonVault et aux services operes par HEELONYS.
Canal dedie : pour tout signalement de vulnerabilite, utilisez et evitez l'ouverture d'un ticket public avant coordination.
Perimetre : cette page vise prioritairement HeelonVault, logiciel desktop local-first de gestion de secrets, ainsi que les services web HEELONYS relies a sa commercialisation.
1. Principes generaux
HeelonVault est concu selon une logique security-first avec une attention particuliere portee a la protection des secrets au repos, a l'authentification forte, a la reduction des fuites accidentelles et a la tracabilite des actions sensibles.
- Architecture local-first: le produit se concentre sur la securite du stockage local et de l'exploitation maitrisee.
- Chiffrement et derives de mot de passe modernes: AES-256-GCM et Argon2id.
- Garde-fous operationnels: audit log, verrouillage, 2FA TOTP et exports securises.
2. Comment signaler une vulnerabilite
Merci de transmettre un email a avec un objet de type SECURITY-HeelonVault : titre court.
Merci d'inclure :
- la version impactee ;
- l'environnement de test ;
- les etapes de reproduction ;
- le comportement attendu vs observe ;
- l'impact estime ;
- un proof of concept si disponible.
Merci de ne pas transmettre de secret en clair, de base de donnees complete, ni de mot de passe maitre dans votre rapport initial. Si un echange chiffre est necessaire, demandez les consignes de chiffrement dans votre premier message.
3. Delais cibles de traitement
- accuse de reception sous 24 h ;
- premier triage et classification sous 3 jours ouvres ;
- mise a jour de statut au moins tous les 7 jours jusqu'a cloture.
| Priorite | Exploitabilite | Impact | Objectif operatoire |
|---|---|---|---|
| P1 | Exploitation triviale ou peu complexe | Impact eleve sur confidentialite, integrite ou disponibilite | Mitigation ou correction cible sous 7 jours |
| P2 | Exploitation realiste avec peu de prerequis | Impact modere a eleve | Mitigation ou correction cible sous 14 jours |
| P3 | Conditions specifiques ou interaction requise | Impact limite a modere | Correction planifiee sous 30 jours |
| P4 | Scenario theorique ou difficile a exploiter | Impact faible | Traitement au fil des releases |
4. Divulgation coordonnee
Les vulnerabilites doivent faire l'objet d'une divulgation coordonnee. Sauf obligation legale contraire, aucune publication detaillee ne doit intervenir avant disponibilite d'une mitigation ou d'un correctif acceptable.
Le credit du chercheur peut etre mentionne apres traitement coordonne, sous reserve de son accord.
5. Licence, marques et authenticite
HeelonVault peut etre distribue sous licence Apache 2.0 pour sa partie logicielle. Les marques HEELONYS et HeelonVault restent la propriete exclusive de HEELONYS.
Le sceau d'authenticite ou toute mention equivalente reservee aux builds officiels ne peut pas etre affiche sur une version modifiee, un fork ou une build communautaire non approuvee par HEELONYS.
Derniere mise a jour : 2 avril 2026