Politique de divulgation des failles de sécurité

Canon prend la sécurité de ses systèmes informatiques très au sérieux et apprécie les efforts de la communauté de sécurité. Les rapports de sécurité nous aident à assurer la sécurité et à protéger la vie privée de nos utilisateurs, en agissant en partenaire de confiance. Cette politique présente les exigences et les mécanismes liés à la divulgation des vulnérabilités des systèmes informatiques de Canon EMEA, permettant aux chercheurs de signaler les failles de sécurité de manière sûre et éthique à l'équipe de sécurité des informations de Canon EMEA.

La présente politique s'applique à toute personne, y compris aux parties prenantes internes et externes de Canon.

Objectifs

L'équipe de sécurité des informations de Canon EMEA s'engage à protéger les clients et les collaborateurs de Canon. Dans le cadre de cet engagement, nous invitons les chercheurs en sécurité à contribuer à la protection de Canon en signalant de manière proactive les vulnérabilités et les failles de sécurité. Vous pouvez envoyer les détails de vos conclusions à l'adresse suivante : appsec@canon-europe.com

Domaines concernés
Vous trouverez ci-après la liste des domaines inclus dans la Politique de divulgation des vulnérabilités de Canon.
*.canon-europe.com	*.canon.nl
*.canon.co.uk	*.canon.com.tr
*.canon.com.de	*.canon.com.sa
*.canon.com.ae	*.canon.com.jp
*.canon.com.ca	*.canon.no
*.canon.es	*.canon.se
*.canon.pl	*.canon.be
*.canon.pt	*.canon.it
*.canon.dk	*.canon.ch
*.canon.fi	*.canon.at
*.canon.fr	*.canon.ie
*.uaestore.canon.me.com

Signaler une vulnérabilité

Si vous décelez une faille de sécurité, vous pouvez nous la signaler à l'adresse suivante : appsec@canon-europe.com. Dans un e-mail concis, veuillez nous indiquer la ou les vulnérabilités que vous avez détectées, en vous montrant aussi explicite et en indiquant autant de détails que possible. Veuillez également nous fournir les éventuelles preuves à votre disposition, en gardant à l'esprit que votre message sera examiné par des spécialistes de la sécurité Canon. Votre e-mail doit notamment inclure les informations suivantes :

• Type de vulnérabilité
• Instructions détaillées permettant de reproduire la vulnérabilité
• Approche que vous avez adoptée
• URL complète
• Objets (filtres ou champs de saisie, par exemple) potentiellement impliqués
• Captures d'écran, dans l'idéal
• Indiquez votre adresse IP dans le Rapport de vulnérabilité. Ces informations seront conservées de manière privée afin d'assurer le suivi de vos activités de test et d'examiner les journaux de notre côté.

Nous n'acceptons pas les documents provenant de scanners logiciels automatisés.

Éléments non acceptés :

• Vulnérabilités volumétriques/par déni de service (consistant simplement à submerger notre service avec un grand nombre de demandes)
• Faiblesses relatives à la configuration TLS (par exemple, prise en charge d'une suite de chiffrement « faible », prise en charge de TLS 1.0, sweet32, etc.)
• Problèmes associés à la vérification des adresses e-mail utilisées pour créer des comptes utilisateur liés à myid.canon
• Self-XSS
• Scripts à contenu mixte sur www.canon*
• Cookies non sécurisés sur www.canon*
• Attaques CSRF et CRLF ayant un impact minime
• XSS d'en-tête d'hôte HTTP sans preuve de concept fonctionnelle
• SPF/DMARC/DKIM incomplet/manquant
• Attaques d'ingénierie sociale
• Bogues de sécurité sur les sites Web intégrés avec Canon
• Techniques d'énumération des données réseau (par exemple, capture de bannières, existence de pages de diagnostic de serveur accessibles au public)
• Rapports indiquant que nos services ne sont pas entièrement conformes aux « meilleures pratiques »

Comment nous traitons votre signalement

Les experts en sécurité des informations de Canon examineront votre rapport et vous contacteront dans un délai de 5 jours ouvrables.

Votre vie privée

Nous utiliserons vos informations personnelles uniquement pour prendre des mesures basées sur votre signalement. Nous ne partagerons pas vos informations personnelles avec des tiers sans votre autorisation expresse.

Règles

Actions potentiellement illégales

Si vous découvrez une faiblesse et que vous l'examinez, il se peut que vous entrepreniez des actions punies par la loi. Si vous suivez les règles et les principes ci-dessous pour signaler les faiblesses de nos systèmes informatiques, nous ne signalerons pas votre infraction aux autorités ni ne déposerons de réclamation.

Il est toutefois important que vous sachiez que le bureau du procureur général (et non CANON), peut décider ou non de vous poursuivre, même si nous n'avons pas signalé votre infraction aux autorités. De ce fait, nous ne pouvons pas garantir qu'aucune poursuite ne sera intentée à votre encontre si vous commettez une infraction passible de sanction lors de votre examen d'une faiblesse.

Le Centre national de cybersécurité du ministère de la Sécurité et de la Justice a créé des directives pour signaler les faiblesses des systèmes informatiques. Nos règles se fondent sur ces directives. (https://english.ncsc.nl/)

Principes généraux

Assumez vos responsabilités et agissez avec la plus grande précaution. Lors de votre enquête, utilisez uniquement les méthodes ou techniques nécessaires pour détecter ou mettre en lumière des faiblesses.

• N'utilisez pas les faiblesses que vous découvrez à d'autres fins que votre propre enquête.
• N'utilisez pas de technique d'ingénierie sociale pour accéder à un système.
• N'installez pas de portes dérobées, même pour démontrer la vulnérabilité d'un système. Les portes dérobées affaiblissent la sécurité d'un système.
• Ne modifiez ni ne supprimez aucune information présente sur un système. Si vous avez besoin de copier des informations pour votre enquête, ne copiez que le strict nécessaire. Si un enregistrement suffit, restez-en là.
• Ne modifiez pas le système de quelque manière que ce soit.
• N'infiltrez un système qu'en cas de nécessité absolue. Si vous parvenez à infiltrer un système, ne partagez l'accès avec personne.
• N'utilisez pas de techniques de force brute, comme la saisie répétée de mots de passe, pour accéder à un système.
• N'utilisez pas les attaques de type déni de service (DoS) pour obtenir l'accès à un système.

Foire aux questions

Puis-je obtenir une récompense suite à mon enquête ?

Non, votre enquête ne vous rendra éligible à aucune rétribution.

Ai-je l'autorisation de publier les faiblesses que je décèle au cours de mon enquête ?

Ne rendez jamais publiques les faiblesses des systèmes informatiques de Canon ni les conclusions de votre enquête sans nous avoir préalablement consultés, en nous envoyant un e-mail à l'adresse suivante : appsec@canon-europe.com. Nous pouvons collaborer en vue d'empêcher les criminels de faire une utilisation abusive de vos informations. Consultez notre équipe de sécurité des informations pour que nous puissions préparer la publication ensemble.

Puis-je signaler une faiblesse de manière anonyme ?

Oui. Vous n'avez pas besoin de mentionner votre nom ni vos coordonnées lorsque vous signalez une faiblesse. Cependant, nous ne serons pas en mesure de vous consulter au sujet des mesures de suivi, comme ce que nous faisons de votre signalement ou de toute autre forme de collaboration.

Pour quelles fins n'ai-je pas l'autorisation d'utiliser cette adresse e-mail ?

L'adresse e-mail appsec@canon-europe.com ne doit pas être utilisée aux fins suivantes :

• Adresser des plaintes au sujet des produits ou services Canon
• Envoyer des questions ou plaintes concernant la disponibilité des sites Web Canon
• Signaler une fraude avérée ou suspectée
• Signaler des e-mails frauduleux ou des e-mails de phishing
• Signaler des virus