Language selection

Rechercher

Avis de sécurité

Voici l’avis de sécurité pour tous les référentiels de données du Service numérique canadien (SNC). Cet avis explique la procédure à suivre pour signaler toute vulnérabilité au SNC. Le SNC est doté d’une équipe de cybersécurité et d’employés soucieux de la sécurité, qui évaluent et traitent tout incident signalé.

Comment signaler une vulnérabilité

Le SNC est un défenseur de la divulgation responsable des vulnérabilités. Si vous avez repéré une vulnérabilité, nous aimerions le savoir afin de la corriger.

Vous pouvez signaler une vulnérabilité en écrivant à security+securite@cds-snc.ca. Vous pouvez également signaler un problème de manière anonyme. Pour l’instant, nous ne prenons pas en charge les courriels chiffrés avec clé PGP.

Votre rapport de vulnérabilité :

  • doit être rédigé en anglais ou en français;
  • doit décrire la vulnérabilité, l’endroit où elle a été repérée et l’incidence potentielle de son exploitation;
  • doit offrir une description détaillée des étapes permettant de reproduire la vulnérabilité (des scripts de démonstration ou des captures d’écran sont utiles). Ces preuves doivent être bénignes et non destructives, afin que nous puissions acheminer votre rapport rapidement et avec précision;
  • doit comporter seulement des renseignements sur des vulnérabilités exploitables;
  • ne doit pas comporter de vulnérabilités non exploitables ou des signalements de services qui ne sont pas entièrement conformes aux « meilleures pratiques » (p. ex., des en-têtes de sécurité manquants ou un volume élevé de rapports de mauvaise qualité pouvant provenir d’un outil de diagnostic automatisé);
  • ne doit communiquer aucune vulnérabilité ni aucun détail associé autre que par les moyens décrits dans cet avis;
  • ne donnera lieu à aucune rémunération pour vos recherches et tests réalisés en vue de divulguer des vulnérabilités.

Vous pouvez toujours nous contacter par courriel à l’adresse security+securite@cds-snc.ca si vous n’êtes pas sûr que la vulnérabilité soit authentique et exploitable ou bien s’il s’agit :

  • d’une vulnérabilité non exploitable;
  • d’un élément quelconque qui peut être amélioré (p. ex., des en-têtes de sécurité manquants);
  • d’une faille dans la configuration du protocole TLS (p. ex., une faible prise en charge des suites de chiffrement ou la prise en charge de la version 1.0 du protocole TLS).

Lorsque vous examinez et signalez une vulnérabilité, vous ne devez pas :

  • enfreindre la loi;
  • accéder à des quantités inutiles ou excessives de données;
  • modifier les données;
  • utiliser d’outils d’analyse invasifs ou destructeurs de haute intensité pour trouver des vulnérabilités;
  • tenter un déni de service (p. ex., saturer un service de canada.ca avec un volume élevé de demandes);
  • perturber les services ou les systèmes du gouvernement du Canada;
  • parler à quiconque de la vulnérabilité que vous avez trouvée jusqu’à ce que nous la divulguions;
  • faire de l’ingénierie sociale, de l’hameçonnage ou attaquer physiquement notre personnel ou causer des dommages à notre infrastructure;
  • demander de l’argent en échange d’une divulgation.

Code de conduite

Veuillez consulter le Code de conduite des contributeurs pour obtenir de plus amples renseignements sur la façon de contribuer de manière ouverte et accueillante. for more information on how to contribute in an open and welcoming way.

Prime aux bogues

Malheureusement, le SNC n’offre pas de programme de prime aux bogues rémunéré, mais fera des efforts pour être reconnaissant envers les personnes qui prennent le temps et l’effort de divulguer des vulnérabilités de manière responsable. Nous disposons en fait d’une page de remerciements pour les problèmes légitimes découverts par les chercheurs.

Après avoir signalé la vulnérabilité

Si vous choisissez de partager vos coordonnées avec nous, nous nous engageons à communiquer avec vous aussi ouvertement et rapidement que possible.

  • Nous accuserons réception de votre rapport dans un délai de trois jours ouvrables.
  • Dans la mesure du possible, nous vous confirmerons l’existence de la vulnérabilité et serons aussi transparents que possible sur les mesures que nous prenons au cours du processus de correction, ainsi que sur les problèmes ou les difficultés pouvant retarder la résolution.
  • Nous donnerons priorité à la correction de la vulnérabilité en examinant l’incidence, la gravité et la complexité de l’exploitation. L’acheminement et le traitement des rapports de vulnérabilité peuvent prendre un certain temps. Nous vous renseignerons avec plaisir sur l’état de votre demande, mais seulement une fois tous les 14 jours. Nos équipes pourront ainsi se concentrer sur les mesures correctives.
  • Nous ferons de notre mieux pour maintenir un dialogue ouvert avec vous afin de discuter des problèmes. Nous tâcherons également de déterminer avec vous de la pertinence de divulguer la faille et, le cas échéant, de la façon de le faire.
  • Nous traiterons votre rapport conformément à la Loi sur l’accès à l’information et à la Loi sur la protection des renseignements personnels.
  • Nous vous informerons lorsque la vulnérabilité signalée est corrigée. Vous pourriez aussi être invité à confirmer que la mesure corrige adéquatement la vulnérabilité.
Date de modification :