BreachRadar Signaler une fuite
Communauté

Signaler une fuite de données

Vous avez connaissance d'une fuite non encore référencée dans notre base ? Aidez-nous à protéger les utilisateurs en la signalant. Chaque contribution est examinée par notre équipe sous 24h.

Pour les chercheurs en sécurité : si vous signalez une vulnérabilité affectant l'infrastructure de BreachRadar elle-même (et non une fuite externe), consultez notre programme de divulgation responsable ci-dessous.

Formulaire de signalement

1. Informations sur le service affecté
2. Détails de la fuite
Si la source est sur le dark web ou un forum restreint, indiquez uniquement le nom du forum et l'identifiant du fil de discussion.
3. Échantillon ou preuve (optionnel)
Glissez un fichier ici ou parcourir
Formats acceptés : .txt, .csv, .json, .zip, .7z — Max 10 Mo
Important : N'envoyez jamais de données personnelles réelles (emails, mots de passe, numéros de téléphone de vraies personnes). Remplacez les valeurs réelles par des exemples fictifs pour prouver le format des données sans exposer les victimes.
4. Vos coordonnées
Utilisée uniquement pour vous répondre sur ce signalement. Non partagée.
Crédité dans nos remerciements (avec votre accord).
Votre signalement a été transmis avec succès. Nous vous enverrons un accusé de réception sous 24h à l'adresse indiquée. Merci pour votre contribution.
Chiffré en transit · Accusé de réception sous 24h

Ce qui se passe après votre signalement

1

Accusé de réception (sous 24h)

Vous recevez un email de confirmation avec un identifiant de ticket unique vous permettant de suivre l'avancement de votre signalement.

2

Analyse et vérification (2 à 5 jours)

Notre équipe d'analystes examine le signalement : authenticité des données, identification du service affecté, estimation du nombre de comptes, classification de la criticité. Si des informations complémentaires sont nécessaires, nous vous contactons.

3

Notification au service affecté

Avant l'intégration publique dans notre base, nous tentons de notifier le responsable du service affecté via ses coordonnées officielles (security.txt, CERT, email abuse), lui laissant un délai raisonnable pour réagir (généralement 72h).

4

Intégration dans la base

Une fois vérifiée et après le délai de notification, la fuite est intégrée dans la base BreachRadar et devient consultable. Vous êtes notifié(e) par email et crédité(e) si vous avez coché l'option correspondante.

5

Signalement aux autorités si nécessaire

Pour les fuites affectant un grand nombre de personnes en France ou dans l'UE, nous informons la CNIL et/ou l'ANSSI conformément à nos obligations légales (RGPD art. 33-34).

Programme de divulgation responsable

Ce programme s'adresse aux chercheurs en sécurité qui auraient découvert une vulnérabilité dans l'infrastructure de BreachRadar (site, API, serveurs). Il ne s'applique pas aux fuites de données tierces, pour lesquelles le formulaire ci-dessus est approprié.

Ce qui est dans le périmètre

  • Injections SQL ou NoSQL
  • XSS stocké ou réfléchi
  • CSRF sur des actions sensibles
  • Contournement d'authentification
  • Accès non autorisé aux données
  • Exposition de secrets ou credentials
  • Vulnérabilités de configuration

Ce qui est hors périmètre

  • Attaques nécessitant un accès physique
  • Attaques de force brute / DoS volumétriques
  • Problèmes affectant uniquement des navigateurs obsolètes
  • Absence de headers de sécurité non critiques
  • Résultats de scanners automatisés non vérifiés
  • Ingénierie sociale sur nos employés

Règles de conduite

Comment soumettre

Envoyez votre rapport à security@breachradar.fr en chiffrant si possible votre email avec notre clé PGP (empreinte : 8F3A 1B2C 4D5E 6F7A 8B9C 0D1E 2F3A 4B5C 6D7E 8F9A, disponible sur keys.openpgp.org). Incluez : description de la vulnérabilité, étapes de reproduction, impact potentiel, et si possible une preuve de concept.

Reconnaissances : Les chercheurs ayant signalé des vulnérabilités valides et critiques ou élevées sont remerciés publiquement dans notre Hall of Fame (avec leur accord) et reçoivent un accès Pro gratuit à vie. Pour les vulnérabilités critiques impliquant un accès aux données, une récompense financière peut être discutée au cas par cas.