Programme de divulgation des vulnérabilités d’Air Canada
Aucune technologie n’est parfaite et, à Air Canada, nous voulons faire le suivi et résoudre les problèmes détectés dans notre réseau. Nous nous engageons à protéger les renseignements personnels de nos clients, et nous nous efforçons de toujours fournir une expérience numérique sécuritaire sur l’ensemble de nos sites Web et de nos applications.
Si vous avez repéré une vulnérabilité à la sécurité de l’un de nos services, nous souhaitons la connaître. Remplissez le formulaire ci-dessous pour signaler une vulnérabilité présumée à l’équipe de la Cybersûreté d’Air Canada. Après l’examen et la validation de votre signalement, nos représentants communiqueront avec vous.
Aspects à prendre en considération lors du signalement d’une vulnérabilité
Pour la protection de nos clients, nous devons nous assurer que les signalements sont effectués de manière responsable. Par conséquent, nous nous réservons le droit de prendre toutes les mesures jugées nécessaires, y compris engager des poursuites judiciaires, si les directives ci-dessous ne sont pas respectées.
- En signalant une vulnérabilité, vous vous engagez à ne pas la divulguer à une tierce partie sans la permission écrite d’Air Canada.
- La protection des renseignements personnels et la sécurité de nos clients ne doivent pas être compromises.
- Aucun test ne doit être effectué sur un appareil ou les systèmes d’un appareil, comme le système de divertissements ou de Wi-Fi à bord.
- Nos services ne doivent pas être interrompus ni détériorés.
- Aucune transaction frauduleuse ne doit être effectuée.
- Les données qui ne vous appartiennent pas ne doivent pas être modifiées.
- Des détails suffisants pour reproduire et valider la vulnérabilité doivent être fournis, notamment sur les cibles, les étapes, les outils et les artefacts concernés.
- Si des outils d’une tierce partie sont utilisés pour détecter, signaler ou reproduire la vulnérabilité, veuillez nous en informer pour que nous puissions garantir le respect des droits de propriété intellectuelle de la tierce partie.
- Un délai raisonnable doit être accordé à Air Canada pour résoudre la vulnérabilité avant de demander un suivi ou de prendre d’autres mesures.
Champ d’application
Les tests sont autorisés seulement sur les cibles indiquées comme faisant partie du champ d’application. Tout domaine ou propriété d’Air Canada qui ne figure pas dans la section des cibles ne fait pas partie du champ d’application.
Dans le champ
Site *.aircanada.com – test du site Web
Application Air Canada pour iOS – test de l’application mobile
Application Air Canada pour Android – test de l’application mobile
Hors du champ
- Les vulnérabilités précédemment signalées;
- Les vulnérabilités touchant le Wi-Fi, les systèmes de divertissements ou le système d’avionique à bord;
- Les fichiers et les répertoires accessibles qui ne sont pas de nature sensible (par exemple : les fichiers README.TXT, CHANGES.TXT, robots.txt, .gitignore, etc.);
- Les attaques de piratage psychologique et d’hameçonnage;
- les attaques exécutées au moyen de scripts intersites (XSS);
- Les attaques exécutées au moyen d’une injection de contenu;
- Les usurpations d’adresse électronique (y compris les problèmes liés à l’absence de méthodes d’authentification Sender Policy Framework [SPF] ou Domain Keys Identified Mail [DKIM], à une falsification de l’identité de l’envoyeur ou à des similarités visuelles);
- Les messages d’erreur descriptifs (par exemple les traces de pile, les erreurs d’application ou de serveur, une divulgation des chemins d’accès);
- Le détournement de clic et les vulnérabilités exploitables seulement au moyen d’un détournement de clic;
- Les problèmes liés à une falsification de requête intersites (CSRF) qui n’ont pas d’incidence sur l’intégrité d’un compte (par exemple, l’ouverture ou la fermeture de session, les formulaires de communication et d’autres formulaires publiquement accessibles);
- L’absence de témoins de connexion sécurisés ou HTTPOnly;
- Les en-têtes de sécurité HTTP manquants;
- Les problèmes liés aux protocoles TLS et SSL, y compris les attaques BEAST et BREACH, les renégociations non sécurisées, une suite de chiffrement trop faible et les certificats expirés;
- Les logiciels obsolètes.
Bogues touchant une tierce partie
Si des vulnérabilités signalées au moyen du formulaire ci-dessous touchent le magasin d’une tierce partie, un projet externe ou un autre fournisseur, Air Canada se réserve le droit de transmettre les renseignements relatifs à cette vulnérabilité à la tierce partie sans vous en informer. En soumettant une vulnérabilité pour que nous l’examinions, vous consentez à la divulgation de cette vulnérabilité aux tierces parties contribuant à nos sites et à ce que ces dernières communiquent avec vous.
* Ce formulaire n’est actuellement offert qu’en anglais