Pas de panique, on vous explique.

kalisecuAI est notre scanner de sécurité maison. Il analyse en continu, depuis l'extérieur, des sites web français accessibles publiquement pour repérer des failles connues : versions de CMS obsolètes, plugins WordPress vulnérables, fichiers sensibles laissés en accès libre, en-têtes de sécurité manquants, certificats expirés, fuites d'informations dans les pages d'erreur, etc.

Concrètement, c'est la même chose que ce que ferait un attaquant qui trie ses cibles au radar. Sauf qu'on est de votre côté, et qu'on vous appelle au lieu d'exploiter.

Oui, et on l'assume. Voici dans quel cadre :

• Aucun accès non autorisé. Le scanner n'utilise que des informations publiquement exposées par votre serveur, exactement comme Google, Bing ou n'importe quel visiteur peuvent les voir.
• Aucune exploitation. On ne tente jamais d'exploiter une faille, on ne se connecte à aucun compte, on ne soumet pas de formulaire, on ne charge aucun fichier. On regarde, on note, on s'en va.
• Pas de force brute, pas de DoS, pas de fuzzing agressif. Le scan est lent, poli, et respecte votre robots.txt ainsi qu'un budget de requêtes très bas par minute.
• Identifié. Notre User-Agent contient explicitement kalisecuAI et l'URL kalisecu.com/scan, celle où vous êtes en ce moment. Aucune tentative de se faire passer pour un autre crawler.

Parce qu'en France, des dizaines de milliers de TPE, artisans, commerçants, associations, cabinets, restaurants ont un site web qui pourrait tomber demain, et personne ne leur dirait avant que ça arrive. Quand on voit une faille critique, on ne peut pas faire semblant de ne pas l'avoir vue.

Donc :

• Si on découvre une faille critique sur votre site (RCE, injection SQL exploitable, panneau d'admin exposé, base de données ouverte, fuite de données client…), on vous écrit, gratuitement, sans rien attendre en retour.
• Si on trouve uniquement des points d'amélioration mineurs (en-têtes manquants, version logicielle un peu vieille…), on n'envoie rien. Pas envie d'être un autre spam de plus dans votre boîte.
• Si vous voulez ensuite qu'on s'en occupe pour vous, ça c'est notre métier et ça se paye. Mais l'alerte, elle, est offerte. Toujours.

On essaie le canal le plus direct possible, dans cet ordre :

• L'adresse e-mail de contact publiquement affichée sur le site (mentions légales, page « Contact », RGPD, security.txt).
• À défaut, le formulaire de contact du site.
• À défaut, un message LinkedIn au gérant identifié sur le registre RNE / Pappers.

Le message inclut : ce qu'on a trouvé, où, le niveau de risque, comment reproduire de votre côté, et surtout comment corriger vous-même sans nous. On vous propose ensuite, et seulement ensuite, de discuter d'un suivi si ça vous intéresse.

Est-ce que c'est une arnaque ?

Non. On ne demande aucun paiement pour vous transmettre l'alerte. On ne vous met pas la pression. On ne dit pas « votre site va exploser dans 24 h ». Si quelqu'un vous a contacté en se disant Kalisecu et en demandant un paiement immédiat, ce n'est pas nous, écrivez-nous à security@kalisecu.fr.

Je ne veux plus jamais être scanné par vous.

C'est votre droit. Envoyez un mail à bonjour@kalisecu.fr avec le ou les domaines à exclure, on les ajoute à notre liste de désinscription sous 48 h ouvrées. Vous pouvez aussi bloquer notre User-Agent kalisecuAI au niveau de votre serveur, on ne contourne rien.

Comment je sais que c'est bien Kalisecu qui m'a écrit ?

Tous nos messages sortent d'un domaine @kalisecu.fr, signés DKIM/DMARC, et renvoient vers cette page. Vous pouvez aussi vérifier l'identité de l'éditeur sur /mentions-legales (KaliCertif SAS, SIREN 929 978 393).

Et les données collectées pendant le scan, vous en faites quoi ?

On garde uniquement ce qui est nécessaire pour vous transmettre l'alerte : domaine, date du scan, signaux techniques détectés. Pas de capture du contenu de vos pages, pas de revente, pas de partage. Détails sur /politique-rgpd.

On comprend que recevoir un mail de sécurité non sollicité, ça peut surprendre. La majorité des gens qu'on contacte nous remercient, quelques-uns nous demandent poliment de ne plus revenir, et c'est ok aussi. Dans tous les cas, on préfère vous prévenir et vous laisser décider, plutôt que regarder ailleurs et attendre que quelqu'un de moins amical trouve la même chose à votre place.

Bon courage pour la suite, et si vous avez la moindre question, bonjour@kalisecu.fr, on répond aux humains.