Nouvelles du produit Nouvelles du produit Administration du système

Politique de divulgation des vulnérabilités D2L

Introduction

D2L s’engage à assurer la sécurité des produits et services que nous fournissons, et à assurer la protection des informations qui nous sont confiées par nos clients et utilisateurs. Cette politique vise à donner aux chercheurs en sécurité des directives claires pour mener des activités de découverte de vulnérabilités et à transmettre nos préférences sur la façon de nous soumettre les vulnérabilités découvertes.

Cette politique décrit quels systèmes et types de recherche sont couverts par cette politique, comment nous envoyer des rapports de vulnérabilité et combien de temps nous demandons aux chercheurs en sécurité d’attendre avant de divulguer publiquement les vulnérabilités.

Nous vous encourageons à nous contacter pour signaler des vulnérabilités potentielles dans nos systèmes.

Autorisation

Si vous faites un effort de bonne foi pour vous conformer à cette politique au cours de votre recherche en sécurité, nous considérerons que votre recherche est autorisée. Nous travaillerons avec vous pour comprendre et résoudre le problème rapidement, et D2L ne recommandera ni n'intentera d'action en justice liée à votre recherche. Si une action en justice est intentée par un tiers contre vous pour des activités menées conformément à cette politique, nous ferons connaître cette autorisation.

Lignes directrices

En vertu de cette politique, « recherche » désigne les activités dans lesquelles vous :

Nous informez dès que possible après avoir découvert un problème de sécurité réel ou potentiel.
Faites tout votre possible pour éviter les violations de la vie privée, la dégradation de l’expérience utilisateur, la perturbation des systèmes de production et la destruction ou la manipulation des données.
N’utilisez les exploits que dans la mesure nécessaire pour confirmer la présence d’une vulnérabilité. N’utilisez pas un exploit pour compromettre ou exfiltrer des données, établir un accès persistant à la ligne de commande ou utiliser l’exploit pour pivoter vers d’autres systèmes.
Nous donner un délai raisonnable pour résoudre le problème avant de le divulguer publiquement.
Ne soumettez pas un volume élevé de rapports de mauvaise qualité.

Une fois que vous avez établi qu’une vulnérabilité existe ou rencontré des données sensibles (y compris des informations personnellement identifiables, des informations financières ou des informations exclusives ou des secrets commerciaux d’une partie), vous devez arrêter votre test, nous en informer immédiatement et ne pas divulguer ces données à quiconque.

Méthodes d’essai

Les méthodes d’essai suivantes ne sont pas autorisées :

Tests de déni de service réseau (DoS ou DDoS) ou autres tests qui entravent l’accès à un système ou aux données, ou qui les endommagent.
Tests physiques (p. ex. accès au bureau, portes ouvertes, talonnage), ingénierie sociale (p. ex. hameçonnage, vishing), ou tout autre test de vulnérabilité non technique.

Champ d’application

La présente politique s’applique aux :

Instances du D2L Brightspace LMS
Instances de D2L Wave
API et services qui prennent en charge Brightspace et Wave
Code source publié à https://github.com/Brightspace
d2l.com

Les tests sur les instances client nécessitent l’autorisation du client associé. Si vous souhaitez accéder à une instance de Brightspace ou Wave pour tester, contactez-nous à l’adresse security@d2l.com.

Tout service qui n’est pas expressément énuméré ci-dessus, comme les services connexes, est exclu de la portée et ne sont pas autorisés pour les tests. De plus, les vulnérabilités trouvées dans les systèmes de nos fournisseurs ne relèvent pas de la portée de cette politique et doivent être signalées directement au fournisseur conformément à sa politique de divulgation (le cas échéant). Si vous n’êtes pas sûr qu’un système soit en portée ou non, contactez-nous à l’adresse security@d2l.com avant de commencer votre recherche.

Bien que nous développions et maintenions d’autres systèmes ou services accessibles à Internet, nous demandons que la recherche et les essais actifs ne porter que sur les systèmes et services visés par la portée du présent document. S’il y a un système particulier qui n’est pas dans la portée que vous pensez mérite d’être testé, s’il vous plaît contactez-nous pour en discuter d’abord.

Tous les systèmes énumérés ci-dessus sont éligibles aux primes.

Signalement d’une vulnérabilité

Les informations soumises en vertu de cette politique seront utilisées à des fins défensives uniquement - pour atténuer ou corriger les vulnérabilités. Si vos résultats incluent des vulnérabilités nouvellement découvertes qui affectent tous les utilisateurs d’un produit ou service et pas seulement D2L, nous pouvons partager votre rapport avec l’équipe de sécurité du produit ou service concerné. Nous ne partagerons pas votre nom ou vos coordonnées sans autorisation expresse.

Nous acceptons les rapports de vulnérabilité via incident@d2l.com. Les rapports peuvent être soumis de manière anonyme. Si vous partagez vos coordonnées, nous accusons réception de votre rapport dans les 3 jours ouvrables. Nous ne prenons pas en charge les e-mails cryptés PGP.

Ce que nous aimerions voir de votre part

Afin de nous aider à trier et à prioriser les soumissions, nous vous recommandons que vos rapports :

Décrivez l’emplacement où la vulnérabilité a été découverte et l’impact potentiel de l’exploitation.
Offrent une description détaillée des étapes nécessaires pour reproduire la vulnérabilité (les scripts de validation de principe ou les captures d’écran sont utiles).
Soient en anglais, si possible.

Ce que vous pouvez attendre de nous

Lorsque vous choisissez de partager vos coordonnées avec nous, nous nous engageons à coordonner avec vous aussi ouvertement et rapidement que possible.

Dans les 3 jours ouvrables, nous accuserons réception de votre rapport.
Au mieux de nos capacités, nous vous confirmerons l’existence de la vulnérabilité et serons aussi transparents que possible sur les mesures que nous prenons pendant le processus de correction, y compris sur les problèmes ou les défis qui peuvent retarder la résolution.
Nous maintiendrons un dialogue ouvert pour discuter des problèmes.

Questions

Les questions concernant cette politique peuvent être envoyées à l’ordre du security@d2l.com. Nous vous invitons également à nous contacter pour nous faire part de suggestions visant à améliorer cette politique.