Passer au contenu
  1. Accueil
  2. Signalements
  3. Signalement de vulnérabilités
  4. Conditions d'utilisation
SignalementsSignalement de vulnérabilitésConditions d'utilisationFormulaireContributeursProgramme de prime aux bogues

Conditions d'utilisation

PFC : BLANC

 

Toute personne est encouragée à signaler une vulnérabilité susceptible d’être exploitée lors de cyberattaques et, ainsi, de porter atteinte à la disponibilité, à l’intégrité ou à la confidentialité des systèmes et des infrastructures technologiques des ministères et organismes du gouvernement du Québec.

Vos motivations

Les motivations qui justifient votre intervention doivent être éthiques et avoir pour objectif de protéger ou d’améliorer les systèmes et les infrastructures technologiques des ministères et des organismes du gouvernement du Québec, incluant l’information que ces derniers détiennent.

Votre engagement

En transmettant le formulaire de signalement de vulnérabilité, vous reconnaissez que vous avez agi de façon à contribuer de manière constructive à la cybersécurité, dans l’intérêt public et sans aucune intention malveillante – vous ne visez, par exemple, pas l’enrichissement personnel et vous ne faites pas d’espionnage dans le but de soutirer des renseignements confidentiels – puisque :

  • vous avez signalé, le plus rapidement possible, une vulnérabilité découverte dans l’un des systèmes ou l’une des infrastructures technologiques des ministères et des organismes du gouvernement du Québec;
  • vous n’avez fait aucun test dans l’intention de nuire à de tels systèmes et infrastructures ni à l’information détenue et n’avez pas exploité la vulnérabilité au-delà du minimum requis pour en démontrer l’existence;
  • vous avez appliqué les mesures nécessaires pour protéger l’information dont vous avez pu avoir connaissance lors de votre intervention et n’avez pas porté atteinte à son intégrité;
  • lors de votre intervention, vous n’avez pas utilisé, ni communiqué, ni conservé de données;
  • vous ne contrevenez pas à une loi du Québec et vous ne menez pas d’actes illicites tels que du piratage psychologique (ingénierie sociale), des tentatives d’hameçonnage, l’envoi de pourriels et des attaques par déni de service;
  • vous avez demandé ou demanderez l’autorisation du Centre gouvernemental de cyberdéfense avant de rendre publics la vulnérabilité que vous avez trouvée et les détails de celle-ci, que ce soit sur les réseaux sociaux ou par l’entremise d’autres moyens de communication;
  • vous n’exigerez aucune contrepartie pour votre intervention;
  • vous agissez à titre personnel.

L’engagement du gouvernement

Le gouvernement du Québec s’engage à ne pas entreprendre d’actions en justice ni à porter plainte contre vous en lien avec le signalement que vous effectuez, dans la mesure où vous respectez votre engagement. Il s’engage également à établir un dialogue ouvert et sécuritaire au sujet de votre signalement de vulnérabilité.

Signaler une vulnérabilité

La méthode retenue pour signaler une vulnérabilité consiste à utiliser le formulaire de ce site. Vous pouvez transmettre le formulaire de façon anonyme.

Le Centre gouvernemental de cyberdéfense prendra connaissance de tous les signalements qui lui seront faits, ainsi que de tous les rapports soumis.

Si vous lui transmettez les coordonnées pour vous joindre, le Centre pourrait vous contacter pour discuter de la vulnérabilité signalée.

Situations non admissibles

Certains signalements de vulnérabilité pourraient, à la discrétion du Centre, ne pas être retenus ni traités, dont :

  • une vulnérabilité non exploitable;
  • une vulnérabilité qui nécessite l’usage d’un navigateur obsolète;
  • un chiffrement ou un certificat SSL ou TLS faible;
  • un site non sécurisé;
  • une recommandation de bonnes pratiques sur, notamment :
    • les entêtes de sécurité manquants;
    • la saisie de bannières;
    • une anomalie d’interface utilisateur;
    • une amélioration de l’expérience utilisateur;
    • une faute d’orthographe;
    • les rapports issus de balayages automatisés.