1 (514) 700-8595
Débuter
Débuter

Politique de divulgation des vulnérabilités

Dernière modification le 27 mai 2026.

Notre engagement

Simple Vote prend au sérieux la sécurité de sa plateforme et l’intégrité des élections qui y sont tenues. Nous accueillons favorablement les signalements de chercheurs en sécurité qui découvrent des vulnérabilités potentielles dans nos systèmes. Cette politique décrit comment nous signaler une vulnérabilité et ce à quoi vous pouvez vous attendre en retour.

Portée

Dans la portée :

  • L’application Gestionnaire d’élections de Simple Vote à www1.simplevote.ca/manage/
  • Les sites de vote hébergés sur notre infrastructure
  • Les API de Simple Vote
  • Les systèmes d’authentification et d’administration de Simple Vote

Hors portée :

  • Les données électorales, les informations sur les électeurs ou les bulletins de vote appartenant à nos clients
  • Les services et infrastructures tiers que nous ne contrôlons pas
  • Les attaques par déni de service de toute nature
  • L’ingénierie sociale visant les employés ou les clients de Simple Vote
  • Les tests de sécurité physique
  • Les vulnérabilités dans des navigateurs ou plateformes obsolètes qui ne bénéficient plus d’un support courant

En cas de doute sur la portée d’une cible, veuillez nous contacter avant de procéder à tout test.

Signalement d’une vulnérabilité

Envoyez votre rapport à [email protected]. Pour les découvertes sensibles, vous pouvez chiffrer votre message à l’aide de notre clé PGP (voir ci-dessous).

Veuillez inclure :

  • Une description de la vulnérabilité et de son impact potentiel
  • L’URL, le composant ou le système affecté
  • Les étapes de reproduction détaillées
  • Toute capture d’écran, journal ou code de démonstration à l’appui
  • Votre nom ou pseudonyme (pour la reconnaissance publique, si souhaité)

Notre processus

Dès réception de votre rapport, nous allons :

  1. Accuser réception dans les 5 jours ouvrables
  2. Trier et valider la découverte, généralement dans les 15 jours ouvrables
  3. Vous tenir informé de l’avancement de la correction
  4. Cibler une correction dans les 90 jours suivant la validation pour les découvertes significatives
  5. Vous aviser lorsque la vulnérabilité aura été corrigée
  6. Coordonner la divulgation avec vous avant toute publication

Sphère de protection

Simple Vote ne poursuivra pas en justice les chercheurs qui :

  • Agissent de bonne foi et respectent cette politique
  • Évitent d’accéder, de modifier ou de supprimer des données ne leur appartenant pas
  • Ne perturbent pas nos services ni ceux de nos clients
  • N’exploitent pas une vulnérabilité au-delà de ce qui est nécessaire pour en faire la démonstration
  • Nous divulguent leurs découvertes avant toute publication publique

Nous considérons que la recherche en sécurité menée de bonne foi dans le cadre de cette politique est autorisée. Si une action en justice est intentée par un tiers, nous indiquerons clairement que vos recherches ont été conduites conformément à cette politique.

Reconnaissance

Nous tenons à souligner la contribution des chercheurs qui aident à maintenir la sécurité de notre plateforme. Avec votre permission, nous inscrirons votre nom ou pseudonyme sur notre page de reconnaissance en sécurité.

Simple Vote peut, à sa seule appréciation, offrir une reconnaissance discrétionnaire pour les découvertes exceptionnelles.

Nous n’exploitons pas de programme de primes aux bogues rémunéré à ce stade.

Divulgation coordonnée des vulnérabilités

Cette politique vise à soutenir la divulgation coordonnée des vulnérabilités conformément aux normes internationalement reconnues, notamment ISO/CEI 29147. Notre objectif est de nous assurer que les vulnérabilités sont corrigées avant toute divulgation publique, afin de protéger les élections et les organisations qui font confiance à notre plateforme.

Contact

Courriel : [email protected]
Clé PGP : https://www.simplevote.ca/cle-pgp.txt
Délai de réponse : Dans les 3 jours ouvrables

Pour des questions générales sur la sécurité ou pour en savoir plus sur nos pratiques, consultez notre page Sécurité et fiabilité.