Soumettre une vulnérabilité

Conditions d'engagement pour soumettre une vulnérabilité

Toute personne est encouragée à signaler une vulnérabilité susceptible d’être exploitée lors de cyberattaques et, ainsi, de porter atteinte à la disponibilité, à l’intégrité ou à la confidentialité des systèmes et des infrastructures technologiques de Notarius. 

À cette fin, nous adhérons aux principes de conditions d'engagement et à l'approche de divulgations établi par le Ministère de la Cybersécurité et du Numérique du gouvernement du Québec, lesquelles sont décrites ci-dessous.

Vos motivations 

Les motivations qui justifient votre intervention doivent être éthiques et avoir pour objectif de protéger ou d’améliorer les systèmes et les infrastructures technologiques de Notarius, incluant l’information que ces derniers détiennent. 

Votre engagement 

En transmettant le formulaire de signalement de vulnérabilité, vous reconnaissez que vous avez agi de façon à contribuer de manière constructive à la cybersécurité, dans l’intérêt public et sans aucune intention malveillante – par exemple vous ne visez pas l’enrichissement personnel et vous ne faites pas d’espionnage dans le but de soutirer des renseignements confidentiels – puisque : 

  • vous avez signalé, le plus rapidement possible, une vulnérabilité découverte dans l’un des systèmes ou l’une des infrastructures technologiques de Notarius; 
  • vous n’avez fait aucun test dans l’intention de nuire à de tels systèmes et infrastructures ni à l’information détenue et n’avez pas exploité la vulnérabilité au-delà du minimum requis pour en démontrer l’existence; 
  • vous avez appliqué les mesures nécessaires pour protéger l’information dont vous avez pu avoir connaissance lors de votre intervention et n’avez pas porté atteinte à son intégrité; 
  • lors de votre intervention, vous n’avez pas utilisé, ni communiqué, ni conservé de données; 
  • vous ne contrevenez pas à une loi du Québec ou du Canada, et vous ne menez pas d’actes illicites tels que du piratage psychologique (ingénierie sociale), des tentatives d’hameçonnage, l’envoi de pourriels et des attaques par déni de service; 
  • vous avez demandé ou demanderez l’autorisation de Notarius avant de rendre publics la vulnérabilité que vous avez trouvée et les détails de celle-ci, que ce soit sur les réseaux sociaux ou par l’entremise d’autres moyens de communication; 
  • vous n’exigerez aucune contrepartie pour votre intervention. 

L’engagement de Notarius 

Notarius s’engage à ne pas entreprendre d’actions en justice ni à porter plainte contre vous en lien avec le signalement que vous effectuez, dans la mesure où vous respectez votre engagement. Il s’engage également à établir un dialogue ouvert et sécuritaire au sujet de votre signalement de vulnérabilité. 

Signaler une vulnérabilité 

La méthode retenue pour signaler une vulnérabilité consiste à utiliser le formulaire de signalement de vulnérabilité. Vous pouvez transmettre le formulaire de façon anonyme. 

Notarius prendra connaissance de tous les signalements qui lui seront faits, ainsi que de tous les rapports soumis. 

Si vous lui transmettez les coordonnées pour vous joindre, Notarius pourrait vous contacter pour discuter de la vulnérabilité signalée. 

Situations non admissibles 

Certains signalements de vulnérabilité pourraient, à la discrétion de Notarius, ne pas être retenus ni traités, dont : 

  • une vulnérabilité non exploitable; 
  • une recommandation de bonnes pratiques sur, notamment :
    • les entêtes de sécurité manquants,
    • la saisie de bannières; 
  • une anomalie d’interface utilisateur; 
  • une amélioration de l’expérience utilisateur; 
  • une faute d’orthographe; 
  • les rapports issus de balayages automatisés.