Ce projet traite des données de santé. Une vulnérabilité peut avoir un impact direct sur la confidentialité de dossiers patients.

Ne pas ouvrir d'issue publique sur GitHub pour un problème de sécurité.

Utiliser la fonctionnalité Private Vulnerability Reporting de GitHub :

1. Aller sur https://github.com/kteken10/ap-hb-crypto-agent/security
2. Cliquer sur « Report a vulnerability »
3. Fournir les informations décrites ci-dessous

Si le rapport privé GitHub n'est pas disponible, contacter le mainteneur par e-mail chiffré (OpenPGP). La clé publique est publiée sur keys.openpgp.org sous l'adresse du mainteneur listée dans pyproject.toml.

Pour accélérer le triage, inclure :

• Version ou commit SHA affecté
• Description précise du problème
• Conditions de reproduction (OS, Python, configuration)
• Impact estimé : confidentialité, intégrité, disponibilité
• Preuve de concept minimale (pas d'exploitation contre un tiers)
• Idée de correctif si applicable

• Contournement du chiffrement (AES-GCM, Argon2id)
• Fuite de la KEK, DEK ou passphrase par le processus
• Forge ou contournement du journal HMAC
• Déni de service exploitable via un fichier malformé (sidecar, keystore)
• Exécution de code non authentifié via un artefact d'agent

• Vulnérabilités connues des dépendances en attente de mise à jour (cryptography, argon2-cffi, watchdog, PyYAML) — suivi via Dependabot
• Attaques nécessitant un accès root préexistant sur l'hôte
• Effacement mémoire non garanti de la KEK (limitation documentée de CPython)
• Canaux auxiliaires sur la taille des fichiers ou le timing

Projet sans prime (bug bounty). Attribution publique dans les notes de version sauf demande contraire du déclarant.

Nous suivons les principes du [Coordinated Vulnerability Disclosure] (https://www.cisa.gov/coordinated-vulnerability-disclosure-process). Merci de respecter une fenêtre raisonnable avant divulgation publique.