Saut au contenu
 

Confidentialité et sécurité

Signaler une vulnérabilité

Comment signaler une vulnérabilité

À la TD, nous nous engageons à assurer la sécurité de nos systèmes et des renseignements de nos clients. Nous encourageons les chercheurs en sécurité à nous signaler toute vulnérabilité potentielle qu’ils détectent dans un produit, un système ou un actif appartenant au Groupe Banque TD ou à l’une de ses filiales ou de ses sociétés affiliées (collectivement, « la TD »). Veuillez prendre note qu’aux fins de cette politique, TD Ameritrade® n’est pas incluse.

Si vous croyez avoir trouvé une vulnérabilité potentielle en matière de sécurité de la TD, veuillez nous en aviser en vertu de cette Politique en matière de communication de l’information responsable (la « politique »).

Merci d’avance. Nous vous remercions de participer à nos efforts consacrés à la sécurité.

Exigences générales

Vous devez chercher et signaler les vulnérabilités potentielles en tenant compte de l’ensemble de cette politique, y compris des exigences ci-dessous :

  1. Ne faites rien qui puisse potentiellement ou réellement causer des dommages à la TD, à nos clients ou à nos employés.
  2. Ne faites rien qui puisse potentiellement ou réellement bloquer ou dégrader les services ou les actifs de la TD.
  3. Ne conservez pas, ne partagez pas, ne compromettez pas et ne détruisez pas de données appartenant à la TD ou à ses clients. Si vous accédez à des renseignements permettant d’identifier des personnes, arrêtez-vous immédiatement, effacez ces données de votre système et communiquez immédiatement avec la TD.
  4. Ne lancez pas et ne permettez pas d’opération frauduleuse.
  5. Faites des recherches concernant la vulnérabilité et la sécurité uniquement pour les comptes que vous détenez ou avec l’autorisation expresse écrite du titulaire de compte.
  6. Ne faites pas de recherches concernant la vulnérabilité et la sécurité pour des activités et des vulnérabilités non visées (mentionnées ci-dessous).
  7. Ne divulguez aucune vulnérabilité potentielle à un tiers ou au grand public sans avoir obtenu l’autorisation écrite préalable de la TD.
  8. Coordonnez avec la TD la divulgation, la transmission ou la publication de vos résultats.
  9. Lorsque vous recevez de notre part l’autorisation de divulguer une vulnérabilité potentielle à un tiers ou au grand public, respectez les restrictions que nous vous indiquons et limitez le contenu divulgué à ce qui permet raisonnablement d’éviter que la vulnérabilité puisse être exploitée (par exemple, ne divulguez pas au grand public le code exécutable ou le code de démonstration de faisabilité).

Exigences pour les chercheurs

Vous acceptez aussi ce qui suit :

  • Vous faites des signalements en votre nom ou, si vous travaillez pour une autre entreprise, vous avez l’autorisation écrite de cette entreprise pour soumettre des signalements à la TD.
  • Vous n’êtes pas un employé ou un employé contractuel de la TD.
  • Vous avez au moins 18 ans et, si vous n’avez pas atteint la majorité dans votre lieu de résidence, vous avez la permission de vos parents ou de votre tuteur légal de faire des signalements.

Activités et vulnérabilités non visées

Certaines activités de recherche et vulnérabilités ne sont pas visées par cette politique. En voici quelques exemples :

  • Tests physiques
  • Piratage psychologique (p. ex., tentatives de voler des témoins et fausses pages d’ouverture de session pour obtenir les codes d’accès)
  • Hameçonnage
  • Attaques par déni de service
  • Attaques de surcharge

Obligations de nature juridique

Vous devez vous conformer aux lois et aux règlements internationaux, fédéraux, d’État, provinciaux et locaux relativement à vos activités de recherche concernant la sécurité et à votre participation à ce programme de communication de l’information responsable. Vous ne devez participer à aucune activité qui viole (a) des lois ou des règlements fédéraux, d’État ou provinciaux ou (b) des lois ou des règlements d’un pays (i) dans lequel des données, des actifs ou des systèmes sont hébergés, (ii) vers lequel le trafic de données est acheminé ou (iii) dans lequel vous, le chercheur, effectuez vos activités de recherche.

Si vous effectuez des recherches et que vous soumettez vos résultats à la TD conformément à cette politique, la TD n’intentera pas d’action civile contre vous. La TD considère que les activités menées en accord avec cette politique représentent une conduite « autorisée » conformément à la Computer Fraud and Abuse Act et au Code criminel du Canada.

REMARQUE : La TD pourrait tout de même signaler aux organismes d’application de la loi ou de réglementation des actions ou des renseignements qui pourraient autrement constituer une conduite criminelle ou interdite. Elle pourrait aussi le faire pour se conformer aux dispositions de toute loi applicable.

La TD pourrait également signaler des actions et des renseignements à des tiers comme ses ententes avec ceux-ci l’exigent. Dans la mesure où toute activité de divulgation de vulnérabilité ou de recherche concernant la sécurité implique des réseaux, des systèmes, des renseignements, des applications, des produits ou des services d’une entité autre que la TD, celle-ci peut déterminer de manière indépendante si elle entreprendra des actions ou des recours judiciaires concernant de telles activités.

Cette politique a priorité sur les modalités d’utilisation de nos produits, de nos systèmes ou de nos autres actifs. En cas de non-respect de cette politique, la TD se réserve la possibilité d’appliquer tous ses droits juridiques, ainsi que tous ses autres droits auxquels elle ne renonce pas spécifiquement dans cette politique.

En soumettant votre rapport à la TD (votre « soumission »), vous acceptez ce qui suit :

  1. La TD peut prendre toutes les mesures nécessaires pour vérifier et réduire la vulnérabilité.
  1. La TD peut communiquer ou divulguer la vulnérabilité comme il est prévu dans cette politique.
  1. La TD peut recueillir, utiliser, communiquer ou divulguer tout renseignement personnel que vous lui fournissez dans le cadre de votre soumission.
  1. Vous donnez à la TD tous les droits nécessaires à l’égard de votre soumission pour prendre n’importe laquelle des mesures ci-dessus.

Veuillez noter qu’actuellement, la TD n’opère pas de programme public de chasse aux bogues. Nous n’offrons aucune récompense ou rémunération contre la soumission de problèmes potentiels conformément au programme décrit dans cette politique.

Soumettre un signalement

Lorsque vous signalez une vulnérabilité potentielle, veuillez inclure une description détaillée de votre découverte, y compris ce qui suit :

  • Adresse URL complète
  • Description claire et concise des étapes suivies
  • Tous les outils utilisés pour arriver à la découverte
  • Tous les objets possiblement touchés (p. ex., filtres ou champs de saisie)
  • Preuve (p. ex., captures d’écran)
  • Votre évaluation du risque et de l’exploitabilité (préférablement selon le CVSS 3.0)
  • Toute solution proposée (facultatif)

N’incluez PAS de copies exécutables du code.

En soumettant un signalement à la TD, vous indiquez avoir lu, compris et accepté cette politique.

Veuillez soumettre votre signalement à : td.responsibledisclosure@td.com

Lorsque la TD recevra votre courriel, vous recevrez un courriel automatique de confirmation. Nous communiquerons avec vous uniquement si nous avons besoin de renseignements supplémentaires pour examiner le problème.

Nous déploierons des efforts raisonnables pour examiner les problèmes et les régler rapidement, mais, pour protéger nos clients, nous pourrions choisir de ne pas divulguer ou confirmer les problèmes de sécurité ou de ne pas en discuter.

Encore une fois, merci pour votre soumission.