Sécurité : divulgation responsable des vulnérabilités

Chez Vidéotron, nous prenons la sécurité très au sérieux et veillons à protéger nos clients et le public. Nous comprenons que la communication et la recherche en matière de sécurité contribuent au repérage de vulnérabilités et de problèmes liés à la cybersécurité. C’est pourquoi nous encourageons les groupes de recherche et les particuliers à signaler de façon responsable les vulnérabilités à notre équipe.

Portée

Notre programme vise à englober l’ensemble des technologies, des produits et des services offerts par Vidéotron. Tous les paramètres de ces services et ces applications sont dans le champ d’application. Si vous ne savez pas si quelque chose appartient à Vidéotron ou est géré par Vidéotron, veuillez nous en informer et nous ferons de notre mieux pour déterminer si nous pouvons vous aider. Aucun compte ou identifiant ne sera fourni à des fins de test.

Hors de portée

Comme nous sommes un fournisseur de services Internet, les technologies hébergées par nos clients Résidentiel et Affaires sont considérées comme hors de portée. Celles-ci peuvent généralement être identifiées par le format FQDN suivant :

  • modemcable.videotron.ca

De plus, toute vulnérabilité concernant les marques et entités suivantes serait également considérée comme hors de portée :

  • Toutes les autres filiales de Québecor (p. ex., Groupe TVA, Agence QMI, QUB, etc.)
  • Vidéotron le superclub
  • Fibrenoire
  • Fizz

Enfin, nous n’avons pas d’intérêt pour les types de vulnérabilité suivants :

  • Problèmes d’usurpation de courriels (p. ex., SPF, DKIM, DMARC)
  • Rapports de balayage automatisés ou résultats des moteurs de recherche (p. ex., Shodan) sans preuve de concept valide
  • Problèmes liés aux certificats SSL ou aux configurations TLS
  • Témoins sans drapeau HTTP Only ou Secure
  • Logiciel obsolète sans preuve d’exploitabilité
  • Altération physique de nos périphériques matériels
  • Ingénierie sociale auprès de nos agents du centre d’appel
  • Test d’attaque de surcharge ou par déni de service (DoS, DDoS, brouillage sans fil, etc.)

Règlement du programme

Pour encourager la recherche de vulnérabilités et éviter toute confusion entre la recherche légitime et les attaques malveillantes, nous vous demandons, en toute bonne foi, de :

  • Jouer selon les règles. Cela comprend le respect de cette politique, ainsi que de tout autre accord référencé.
  • Nous signaler rapidement toute vulnérabilité découverte.
  • Éviter de violer la vie privée d’autrui, de perturber nos systèmes, de détruire des données et/ou de nuire à l’expérience utilisateur.
  • Utiliser uniquement les canaux officiels pour discuter des informations de vulnérabilité avec nous.
  • Garder confidentiels les détails de toute vulnérabilité découverte jusqu’à ce que nous ayons élaboré un calendrier de publication — et que le problème de vulnérabilité soit corrigé — conformément à la politique de divulgation.
  • Effectuer des tests uniquement sur les systèmes inclus dans le champ d’application et respecter les systèmes et les activités qui sont hors de portée.
  • Si une vulnérabilité fournit un accès involontaire aux données : limiter la quantité de données auxquelles vous accédez au minimum requis pour démontrer efficacement une preuve de concept, cesser de tester et soumettre un rapport immédiatement si vous rencontrez des données utilisateur pendant le test, y compris des renseignements exclusifs ou des données sur une personne identifiable, telles que des données financières ou des renseignements personnels.
  • Interagir uniquement avec les comptes tests que vous détenez ou avec les comptes pour lesquels vous avez l’autorisation expresse écrite des titulaires.
  • Ne pas vous livrer à l’extorsion.
     

Comment signaler une vulnérabilité

Vidéotron demande que les chercheurs partagent les détails de toute vulnérabilité suspectée par courriel chiffré :

Écrire à declarationresponsable@videotron.com

Vidéotron accusera réception de chaque rapport de vulnérabilité, mènera une enquête approfondie et prendra ensuite les mesures appropriées. Veuillez inclure au minimum les informations suivantes dans votre soumission initiale :

  • Classification de vulnérabilité (critique/élevée/moyenne/faible)
  • Brève description
  • Étapes de reproduction (être aussi détaillé que possible, inclure des captures d’écran s’il y a lieu)
  • Ressources utilisées/URL
  • Nom du compte (le cas échéant)
  • Date et heure de votre test
  • Moyen de communication privilégié (p. ex., téléphone, courriel)
     

Sphère de sécurité

Nous considérons que la recherche de vulnérabilité qui tente, en toute bonne foi, de se conformer à cette politique est :

  • Autorisée, conformément aux articles 429 (2) et 342.1 du Code criminel (et/ou aux autres lois applicables).
  • Autorisée dans la mesure où elle ne nuirait pas autrement aux droits qui nous sont accordés en vertu de la Loi sur le droit d’auteur [LRC 1985, c C-42] [y compris les art. 3, 15 et 41 de cette loi], et est effectuée avec notre consentement [tel que prévu par les articles 30.63 et 41.15].
  • Ne nous cause aucun dommage matériel.
  • Exemptée de toute restriction pertinente de nos Modalités et Conditions, et nous renonçons à ces restrictions dans la mesure où elles sont incompatibles avec cette politique.
  • Légale, utile à la sécurité globale d’Internet et menée à notre avantage.

Cette politique prévaut sur tout autre terme ou accord incohérent.

Nous n’engagerons ni ne soutiendrons aucune action en justice contre vous pour toute recherche de vulnérabilité conforme à cette politique ou pour toute violation accidentelle et de bonne foi de cette politique. Dans la mesure où certaines de vos recherches sur la vulnérabilité n’entrent pas dans le cadre de cette politique (par exemple, si certaines de vos recherches ont un impact sur des systèmes hors de portée), cette politique continuera de s’appliquer à toutes vos activités qui demeurent conformes.

Cette politique fonctionne uniquement comme une sphère de sécurité contre les obligations ou responsabilités légales potentielles indépendantes. Le non-respect de cette politique vous disqualifiera de la sphère de sécurité qu’elle établit, mais ne doit pas être interprété comme créant des obligations légales qui n’existeraient pas autrement ou étendant ces obligations au-delà de leur portée indépendante.

Vous êtes censé, comme toujours, vous conformer à toutes les lois canadiennes applicables.

Bien que nous puissions modifier cette politique à tout moment, ces changements ne seront pas appliqués rétrospectivement, et la sphère de sécurité décrite ici est irrévocablement étendue à toute recherche de vulnérabilité effectuée pendant que cette politique reste en vigueur.

Si à tout moment vous avez des préoccupations ou n’êtes pas certain que vos recherches en matière de sécurité soient conformes à cette politique, veuillez soumettre un rapport par l’entremise de l’un de nos canaux officiels avant d’aller plus loin.