Le Service numérique canadien et le Bureau du dirigeant principal de l'information
Date : 2020-07-31
Le gouvernement du Canada s’est engagé à protéger la sécurité et l’intégrité du service Alerte COVID ainsi que les données et les renseignements que celui-ci collecte. Le service Alerte COVID a été construit ouvertement pour accroître la confiance que les personnes lui portent et offrir aux personnes des occasions de contribuer à son amélioration.
Les renseignements que vous soumettez lors du processus sont utilisés uniquement pour atténuer ou corriger les vulnérabilités.
Si vous pensez avoir trouvé une vulnérabilité en matière de sécurité, avertissez-nous dès que possible. Veuillez nous faire parvenir votre signalement par courriel à securite@cds-snc.ca. Vous pouvez envoyer des signalements de façon anonyme. Nous ne prenons pas en charge les courriels chiffrés PGP pour le moment.
Dans votre signalement :
- Écrivez en anglais ou en français.
- Décrivez la vulnérabilité, l’endroit où elle a été découverte et les répercussions éventuelles de son exploitation.
- Offrez une description détaillée des étapes à suivre pour reproduire la vulnérabilité (des scénarios de démonstration de faisabilité ou des captures d’écran sont utiles). Les démonstrations de faisabilité doivent être bénignes et non destructives, afin que nous puissions trier votre signalement rapidement et de façon juste.
- Ne soumettez pas des signalements détaillant les vulnérabilités non exploitables ni des signalements indiquant que les services ne sont pas entièrement conformes aux « pratiques exemplaires », par exemple les en-têtes de sécurité manquants, ou un volume élevé de signalements de faible qualité (par exemple, à partir d’un scanneur automatisé).
- Ne communiquez pas d’autres vulnérabilités ou de renseignements connexes autres que ceux décrits dans le fichier security.md publié.
- N’attendez pas ou n’exigez pas de compensation financière pour les recherches et les tests vous ayant permis de révéler des vulnérabilités.
Lorsque vous choisissez de communiquer vos coordonnées avec nous, nous nous engageons à communiquer avec vous le plus ouvertement et le plus rapidement possible.
- Nous confirmerons la réception de votre signalement dans un délai de 3 jours ouvrables.
- Au mieux de nos capacités, nous vous confirmerons l’existence de la vulnérabilité et nous serons aussi transparents que possible sur les mesures que nous prenons durant le processus de correction, notamment sur les problèmes ou les difficultés qui peuvent retarder la résolution du problème.
- Nous établirons des priorités pour la correction des vulnérabilités en examinant les conséquences, la gravité et la complexité de leur exploitation. Un certain temps peut être nécessaire pour trier ou traiter les signalements de vulnérabilité. Vous pouvez vous informer de leur statut, mais nous vous prions de ne pas le faire plus d’une fois tous les 14 jours. De cette façon, nos équipes peuvent se concentrer sur leur correction.
- Nous ferons notre possible pour maintenir un dialogue ouvert avec vous afin de discuter des problèmes et nous travaillerons avec vous pour déterminer si la faille signalée sera rendue publique et la façon de le faire, le cas échéant.
- Nous traiterons votre signalement conformément à la Loi sur l’accès à l’information et à la Loi sur la protection des renseignements personnels.
- Nous vous informerons lorsque la vulnérabilité signalée sera corrigée. Vous serez peut-être invité à confirmer que la solution corrige la vulnérabilité de manière adéquate.