Politique de divulgation des vulnérabilités de VérifOntario

Page archivée

Cette page n'est plus à jour et elle est disponible à des fins d’archivage et de recherche seulement.

Notre objectif est de vous permettre de communiquer de manière cohérente et sécuritaire les vulnérabilités potentielles de l'application VérifOntario. Veuillez trouver ci-dessous des informations sur la manière de signaler une vulnérabilité.

L'application VérifOntario a pris fin le 24 juin 2022.

L'application n'est plus disponible dans les boutiques d'applications Google Play et Apple. Si vous avez encore une version téléchargée de l'application, elle ne pourra pas scanner les codes QR et ne bénéficie plus de mises à jour.

Qui nous sommes

Les termes « nous », « notre » ou « nos » font référence à de Sa Majesté la Reine du chef de l'Ontario (ou, plus généralement, du gouvernement de l'Ontario).

Objectif

La présente politique fournit des directives à la communauté des chercheurs en cybersécurité et aux membres du grand public (ci-après dénommés "vous") sur la conduite d'activités de détection de vulnérabilités de bonne foi visant l'application VérifOntario.

Activité autorisée

Si vous respectez les exigences de cette politique, nous considérerons que vos activités sont autorisées par les conditions d'utilisation.

Aperçu

Les services numériques destinés au public permettent d'offrir des services pratiques et accélérés, mais ils peuvent également entraîner des risques de cybersécurité pour les personnes, les entreprises et le gouvernement. Services numériques de l'Ontario a pour principe de travailler de manière ouverte et est prêt à entendre la communauté de la cybersécurité afin de rendre l'application VérifOntario plus efficace.

Exigences

Afin d'être considéré comme autorisé, vous devez :

  • nous informer dans les 72 heures de la détection d'une vulnérabilité.
  • Faire tout votre possible pour éviter les violations de la vie privée, la dégradation de l'expérience utilisateur, la perturbation des systèmes de production et la destruction ou la manipulation des données.
  • Ne pas effectuer des activités de test que dans la mesure nécessaire pour confirmer l’occurrence d'une vulnérabilité.
  • Ne pas utiliser d'exploit pour compromettre ou exfiltrer des données; ouvrir, saisir ou supprimer des fichiers; établir un accès en ligne de commande ou une persistance; ou pivoter vers d'autres systèmes.
  • Ne pas escalader les privilèges ou tenter de se déplacer latéralement dans le réseau.
  • Ne pas perturber l'accès à nos services ni introduire de logiciels malveillants au cours des tests.
  • Ne pas divulguer publiquement les vulnérabilités signalées sans nous consulter au préalable.
  • Ne pas soumettre un grand nombre de rapports de mauvaise qualité.

Dès que vous constatez l'occurrence d'une vulnérabilité ou que vous rencontrez du matériel de nature sensible, tel que des informations personnelles ou des informations de santé personnelles, vous devez arrêter les tests et nous en informer. Le processus de signalement d'une vulnérabilité est décrit ci-dessous.

Activités exclues du champ d’application de la présente politique

Toutes les activités qui ne sont pas spécifiquement mentionnées ici sont considérées comme étant exclues de la portée de cette politique et ne sont pas autorisées. Si vous n'êtes pas certain qu'une activité particulière soit autorisée, contactez-nous à l'adresse appfeedback@ontario.ca.

La présente politique n'autorise pas, ne permet pas et ne confère pas, de manière explicite ou implicite, à quiconque la possibilité de s'engager dans une activité de recherche en matière de sécurité ou de divulgation de vulnérabilités ou de menaces liées ou concernant nos systèmes, qui serait incompatible avec la présente politique ou la loi. Si vous vous menez des activités incompatibles avec cette politique ou toute autre loi applicable, vous pouvez être soumis à des poursuites pénales ou civiles.

Méthodes de test

Les chercheurs agissant de bonne foi pour détecter, vérifier et soumettre des vulnérabilités ou des indicateurs de vulnérabilités sont autorisés à condition que les activités de test se limitent exclusivement à :

  1. des tests visant à détecter une vulnérabilité ou à identifier un indicateur lié à une vulnérabilité; ou,
  2. partager des informations avec nous, ou recevoir des informations de notre part, concernant une vulnérabilité ou un indicateur lié à une vulnérabilité.
  • Les chercheurs ne doivent pas endommager un système ou des données sur notre système ou exploiter des vulnérabilités potentielles au-delà de la quantité minimale de tests nécessaires pour prouver qu'une vulnérabilité existe ou pour identifier un indicateur lié à une vulnérabilité.
  • Les chercheurs ne doivent pas établir d'accès à la ligne de commande ou de persistance, pivoter vers d'autres systèmes, escalader les privilèges, tenter de se déplacer latéralement dans le réseau, perturber l'accès à nos services ou introduire un logiciel malveillant au cours des tests.
  • Les chercheurs doivent éviter d'accéder intentionnellement au contenu de toute communication, donnée ou information en transit ou sauvegardée sur l'un de nos systèmes d'information - sauf dans la mesure où l'information est directement liée à une vulnérabilité et où l'accès est nécessaire pour prouver que la vulnérabilité existe.
  • Les chercheurs ne doivent pas exfiltrer ou copier intentionnellement nos données, ni ouvrir, prendre ou supprimer des fichiers. Si les chercheurs obtiennent nos données au cours de leurs recherches, ils doivent travailler en coordination avec nous pour s'assurer que les données sont éliminées de manière appropriée après confirmation que la vulnérabilité est corrigée.
  • Les chercheurs ne doivent pas compromettre intentionnellement la propriété intellectuelle ou d'autres intérêts commerciaux ou financiers d'un membre de notre personnel ou d'une entité ou d'un tiers dans le cadre de leurs recherches.
  • Les chercheurs ne doivent pas compromettre intentionnellement la vie privée ou la sécurité de notre personnel (par exemple, employés ou sous-traitants) ou de tout autre tiers.
  • Les chercheurs ne peuvent pas divulguer publiquement les détails de la vulnérabilité, l'indicateur de vulnérabilité ou le contenu des informations rendues disponibles par une vulnérabilité, jusqu'à ce que cette vulnérabilité soit corrigée et qu'ils reçoivent une autorisation écrite explicite de notre part.
  • Les chercheurs ne peuvent pas effectuer de tests de déni de service (DoS ou DDoS) ou d'autres tests qui empêchent l'accès à un système ou à des données ou les endommagent.
  • Les chercheurs ne doivent pas effectuer de tests physiques ou d'ingénierie sociale, y compris le hameçonnage ciblé, sur notre personnel ou nos sous-traitants.
  • Les chercheurs ne doivent pas soumettre intentionnellement un grand nombre de rapports de mauvaise qualité, non corroborés ou faussement positifs.

Si, à un moment donné, les chercheurs ne sont pas sûrs de poursuivre les tests, ils doivent s'adresser à nous à l'adresse appfeedback@ontario.ca avant de procéder à d'autres tests.

Signaler une vulnérabilité

Si vous détectez une vulnérabilité ou une vulnérabilité présumée, vous devez fournir un rapport décrivant la vulnérabilité et comprenant les éléments suivants :

  • une description de la vulnérabilité et de l'impact potentiel de la vulnérabilité
  • les détails du produit concernant le logiciel ou le matériel qui sont potentiellement touchés
  • des instructions étape par étape sur la façon de reproduire le(s) problème(s)
  • des suggestions de mesures d'atténuation ou de correction, le cas échéant
  • des informations sur la manière dont nous pouvons vous contacter.

Veuillez envoyer votre rapport à appfeedback@ontario.ca.

Avis de collecte de renseignements personnels et déclaration de consentement

En soumettant un rapport de vulnérabilité, vous acceptez les exigences de la présente politique et le fait que tout ce que vous nous soumettez peut-être utilisé par nous dans le but de traiter une vulnérabilité, une vulnérabilité présumée ou d'améliorer nos services.

Bien que nous n'exigions pas que vous soumettiez des informations personnelles dans le cadre d'un rapport, vous pouvez choisir de fournir vos coordonnées personnelles. Vous serez considéré comme ayant consenti à ce que nous utilisions ces informations dans le but de répondre à votre rapport, ce qui peut nécessiter de vous contacter. Vous consentez également à ce que nous divulguions vos informations personnelles à nos employés, fonctionnaires ou sous-traitants concernés afin de remédier à une vulnérabilité, une vulnérabilité présumée ou d'améliorer nos services. Toute information personnelle que vous soumettez sera traitée conformément à notre Déclaration concernant la protection de la vie privée. Si vous avez des questions concernant la collecte de ces renseignements, veuillez contacter appfeedback@ontario.ca.

Modifications ou résiliation

Nous pouvons résilier ou mettre à jour cette politique à tout moment et sans préavis.