Nous nous engageons pour une divulgation responsable des vulnérabilités. Si vous avez repéré une vulnérabilité, nous aimerions le savoir afin de la corriger.
Cet avis explique comment signaler des vulnérabilités en matière de sécurité. Nous procéderons à l’évaluation et au tri de toutes les vulnérabilités signalées.
Vous pouvez signaler des vulnérabilités pour les domaines suivants :
- *.digital.canada.ca
- *.numerique.canada.ca
- *.notification.canada.ca
- *.cdssandbox.xyz
- articles.alpha.canada.ca
- forms-formulaires.alpha.canada.ca
- list-manager.alpha.canada.ca
- scan-files.alpha.canada.ca
Votre rapport de vulnérabilité :
- peut rester anonyme;
- doit comporter seulement des renseignements sur des vulnérabilités exploitables; ne doit pas comporter de vulnérabilités non exploitables ou des signalements de services qui ne sont pas entièrement conformes aux « meilleures pratiques ». (p. ex., des en-têtes de sécurité manquants ou un volume élevé de rapports de mauvaise qualité pouvant provenir d’un outil de diagnostic automatisé);
- ne doit communiquer aucune vulnérabilité ni aucun détail associé autre que par les moyens décrits dans cet avis;
- ne donnera lieu à aucune rémunération pour vos recherches et tests réalisés en vue de divulguer des vulnérabilités.
Vous pouvez nous contacter par courriel à l’adresse security+securite@cds-snc.ca si vous n’êtes pas sûr·e que la vulnérabilité soit authentique et exploitable ou bien s’il s’agit :
- d’une vulnérabilité non exploitable;
- d’un élément quelconque qui peut être amélioré (p. ex., des en-têtes de sécurité manquants);
- d’une faille dans la configuration du protocole TLS (p. ex., une faible prise en charge des suites de chiffrement ou la prise en charge de la version 1.0 du protocole TLS).
Lorsque vous examinez et signalez une vulnérabilité, vous ne devez pas :
- enfreindre la loi;
- accéder à des quantités inutiles ou excessives de données;
- modifier les données;
- utiliser des outils d’analyse invasifs ou destructeurs de haute intensité pour trouver des vulnérabilités;
- tenter un déni de service (p. ex., saturer un service de canada.ca avec un volume élevé de demandes);
- perturber les services ou les systèmes du gouvernement du Canada;
- parler à quiconque de la vulnérabilité que vous avez trouvée jusqu’à ce que nous la divulguions;
- faire de l’ingénierie sociale, de l’hameçonnage ou attaquer physiquement notre personnel ou causer des dommages à notre infrastructure;
- demander de l’argent en échange d’une divulgation.
Code de conduite
Veuillez consulter le code de conduite des contributeur·rice·s pour obtenir de plus amples renseignements sur la façon de contribuer de manière ouverte et accueillante.
Prime aux bogues
Le SNC n’offre pas de programme de prime aux bogues rémunéré.
Après le signalement de la vulnérabilité :
- Nous donnerons priorité à la correction de la vulnérabilité en examinant l’incidence, la gravité et la complexité de l’exploitation. L’acheminement et le traitement des rapports de vulnérabilité peuvent prendre un certain temps.
- Nous vous renseignerons avec plaisir sur l’état de votre demande, mais seulement une fois tous les 14 jours.
- Nous traiterons votre rapport conformément à la Loi sur l’accès à l’information et à la Loi sur la protection des renseignements personnels.