Divulgation responsable
Canium construit une infrastructure critique pour la sécurité, et nous accueillons favorablement le travail des chercheurs en sécurité qui nous aident à la garder solide. Cette politique explique comment signaler une vulnérabilité, ce qui est couvert ou non, les règles que nous vous demandons de suivre, et ce que vous pouvez attendre de nous en retour.
Notre engagement — Refuge juridique
Si vous faites un effort de bonne foi pour respecter cette politique pendant vos recherches, nous considérerons votre activité comme autorisée. Nous n'intenterons ni n'appuierons aucune action en justice contre vous et, si un tiers intente une action contre vous pour une activité menée conformément à cette politique, nous ferons savoir que vos actions étaient autorisées.
Nous considérons la recherche en sécurité menée conformément à cette politique comme un accès autorisé au sens du Code criminel du Canada et du droit applicable en matière d'utilisation abusive de l'informatique. Si, à tout moment, vous n'êtes pas certain qu'une action particulière soit conforme à cette politique, contactez-nous à security@canium.ca avant de poursuivre.
Cet engagement de refuge juridique ne lie pas les tiers autres que Canium et n'autorise aucune activité qui serait illégale indépendamment de cette politique.
Portée
Les actifs suivants, exploités par Canium, sont couverts :
canium.caet ses sous-domaines- Les applications clientes web, de bureau et mobiles de Canium
- Les API publiques et l'infrastructure dorsale exploitées par Canium
- Notre implémentation cryptographique — MLS (RFC 9420 / OpenMLS), OPAQUE (RFC 9807) et le substrat KEM post-quantique hybride (X25519 + ML-KEM-768)
Les éléments suivants sont hors portée :
- Les services, systèmes ou données exploités par des tiers plutôt que par Canium
- Tout test de déni de service, volumétrique ou d'épuisement de ressources, de quelque nature que ce soit
- L'ingénierie sociale du personnel, des sous-traitants ou des utilisateurs de Canium ; les attaques physiques ; et les attaques nécessitant un accès physique à un appareil
- Le pourriel, l'hameçonnage ou l'injection de contenu qui dépend d'un utilisateur agissant à l'encontre d'un avertissement explicite
- Les résultats de scanners automatisés, ou les signalements d'en-têtes de durcissement ou de bonnes pratiques manquants, sans impact exploitable démontré
- Les vulnérabilités qui nécessitent un point de terminaison compromis ou débridé, ce qui relève de la responsabilité de l'utilisateur
Règles d'engagement
- Effectuez vos tests uniquement sur des comptes que vous possédez ou sur des comptes de test que vous avez explicitement créés à cette fin.
- N'accédez pas, ne modifiez pas, ne supprimez pas et ne stockez pas de données qui ne vous appartiennent pas. Arrêtez dès que vous disposez d'une preuve de concept fonctionnelle.
- Canium est chiffré de bout en bout et aveugle au serveur par conception. N'essayez pas d'accéder, de déchiffrer ou d'exfiltrer le contenu des messages, les clés ou les informations d'identification d'un autre utilisateur. Si vous rencontrez incidemment les données d'un tiers, arrêtez immédiatement, ne les conservez pas et ne les divulguez pas, et signalez-le dans votre rapport.
- Ne dégradez pas, ne perturbez pas et n'interrompez pas le service pour les autres utilisateurs.
- Donnez-nous une possibilité raisonnable de corriger une vulnérabilité avant de la divulguer publiquement, et coordonnez le calendrier avec nous.
- Respectez l'ensemble du droit canadien applicable tout au long de vos recherches.
Comment signaler
Envoyez votre rapport à security@canium.ca. Nos coordonnées lisibles par machine sont publiées à /.well-known/security.txt.
Un rapport utile comprend :
- Une description claire de la vulnérabilité et du composant ou de l'URL concerné
- Des instructions étape par étape pour la reproduire, avec tout code de preuve de concept ou toute charge utile
- Votre évaluation de l'impact et, si elles sont connues, les conditions requises pour l'exploiter
- Comment nous pouvons vous joindre pour le suivi
Nous acceptons les rapports en français et en anglais.
Ce que vous pouvez attendre de nous
Nous priorisons les problèmes selon leur impact sur les garanties fondamentales de Canium — tout ce qui pourrait compromettre la confidentialité du contenu des messages, du matériel de clé ou de l'authentification des utilisateurs est traité comme la priorité la plus élevée.
| Étape | Notre cible |
|---|---|
| Accusé de réception de votre rapport | Dans les 3 jours ouvrables |
| Tri initial et évaluation de la gravité | Dans les 10 jours ouvrables |
Reconnaissance
Canium n'exploite pas actuellement de programme de primes aux bogues rémunéré. Avec votre permission, nous serons heureux de vous créditer dans nos remerciements de sécurité une fois un problème signalé résolu. Si vous préférez rester anonyme, dites-le-nous et nous le respecterons.