Divulgation responsable
Comment nous signaler une vulnérabilité en toute sécurité
Merci de nous aider à améliorer la sécurité
Nous prenons la sécurité de nos systèmes, de nos participants et de notre communauté au sérieux. Si vous découvrez une vulnérabilité ou un comportement suspect lié aux systèmes ou sites Web de Hackfest, nous vous invitons à nous en informer de façon responsable afin que nous puissions enquêter et corriger la situation.
Comment nous signaler une vulnérabilité
Pour signaler une vulnérabilité, veuillez nous écrire à [email protected] en incluant autant de détails techniques que possible.
Si vous préférez chiffrer votre message, vous pouvez utiliser notre clé PGP publique disponible à l'adresse suivante : https://hackfest.ca/pgp-key.txt.
Nous vous demandons de ne pas utiliser les médias sociaux ou les canaux publics pour partager des informations sensibles liées à une vulnérabilité.
- Un résumé clair du problème identifié
- Les systèmes, sites ou URL concernés
- Les étapes détaillées pour reproduire la vulnérabilité
- Tout impact potentiel que vous anticipez
- Vos coordonnées (nom ou pseudonyme, moyen de contact) si vous souhaitez un suivi
Portée
Cette politique couvre les systèmes, sous-domaines et services directement gérés par Hackfest Communication. Les services tiers utilisés par Hackfest peuvent avoir leurs propres programmes ou politiques de divulgation responsable.
Si vous n'êtes pas certain qu'un système fait partie de la portée, mentionnez-le dans votre rapport et nous pourrons vous orienter au besoin.
Ce que nous attendons des chercheurs
Nous accueillons la divulgation responsable de la part de la communauté, des chercheurs, des entités gouvernementales et des organisations (GC.CA, MCN, Gouv.qc.ca, etc.).
Pour protéger notre communauté et nos systèmes, nous vous demandons de respecter les principes suivants pendant vos recherches :
- Éviter tout impact négatif sur la disponibilité ou l'intégrité des systèmes
- Éviter d'accéder, de modifier ou de détruire des données qui ne vous appartiennent pas
- Limiter au minimum la collecte de données personnelles et les supprimer dès que possible
- Ne pas tenter d'exfiltrer de données au-delà de ce qui est strictement nécessaire pour la preuve de concept
- Ne pas utiliser les vulnérabilités pour compromettre des comptes, vendre des accès ou perturber l'événement
Divulgation coordonnée
Comme indiqué dans notre fichier security.txt, nous vous demandons de ne pas divulguer publiquement les détails d'une vulnérabilité avant que nous ayons eu l'occasion raisonnable d'enquêter, de corriger le problème et de coordonner une communication appropriée au besoin.
Nous nous engageons à travailler avec vous de bonne foi afin de résoudre le problème dans des délais raisonnables et, lorsque cela est approprié, à vous créditer pour votre contribution (avec votre consentement).
Ce que vous pouvez attendre de nous
Lorsque vous nous signalez une vulnérabilité de bonne foi, nous nous engageons à :
- Accuser réception de votre rapport dans un délai raisonnable
- Évaluer et prioriser le problème en fonction de son impact et de sa portée
- Collaborer avec vous pour obtenir des précisions si nécessaire
- Travailler à la correction de la vulnérabilité en fonction de sa sévérité
- Coordonner la divulgation publique, au besoin, de façon responsable
- Ne pas engager de poursuites contre vous pour des recherches menées de bonne foi dans le cadre de cette politique
Reconnaissance
Nous apprécions le temps et les efforts investis par les membres de la communauté pour renforcer la sécurité de Hackfest. Lorsque cela est approprié et souhaité, nous pouvons reconnaître publiquement les chercheurs qui nous aident à identifier des vulnérabilités.