En avril 2022, le ministère de la Cybersécurité et du Numérique (MCN) a créé le nouveau Programme de prime aux bogues afin de structurer et de renforcer les interventions pour assurer une cybersécurité au sein du gouvernement.
Par l’entremise du Programme, le MCN veut mettre à contribution la communauté de chercheurs en sécurité de l’information, avec l’aide de la plateforme YesWeHack, afin d’identifier de possibles vulnérabilités au sein de nos actifs informatiques.
Les objectifs poursuivis par le Programme sont :

• Assurer la protection et la résilience des services publics et des échanges électroniques gouvernementaux
• Accélérer la prise en charge des vulnérabilités au sein de l’appareil gouvernemental
• Établir des partenariats de collaboration en matière de recherche et d’innovation

Le MCN estime que la collaboration de la communauté de chercheurs en sécurité de l’information est essentielle. Elle offre une plus grande force de frappe pour identifier les potentielles faiblesses informatiques de ses actifs.
Si vous avez remarqué une faille de sécurité sur une de nos technologies ou en soupçonnez la présence, nous vous invitons à communiquer rapidement avec nous. Ainsi, s’il s’agit réellement d’une vulnérabilité et que toutes les conditions sont réunies, vous serez récompensé pour votre découverte et pourrez collaborer avec notre équipe afin de résoudre le problème.

Termes et conditions (accepté)

• Respecter les conditions du Programme de prime aux bogues
• Respecter les politiques concernant la protection de la vie privée
• Ne pas traiter ou détruire des données personnelles ni y accéder
• Être précis et fournir des documents de travail détaillés facilitant la compréhension de vos commentaires et vos explications
• Respecter le travail d’autrui et favoriser la collaboration
• Utiliser uniquement des comptes personnels ou autorisés lors des tests à effectuer
• Être vigilant lors des tests à effectuer afin d’éviter des préjudices de sécurité à l’égard de la clientèle et de ses services
• Être prudent et consciencieux en signalant immédiatement les doutes dès la première constatation. Attendre la confirmation autorisant la continuité des tests

Termes et conditions (refusé)

• Sont inadmissibles à participer au Programme de primes aux bogues du gouvernement du Québec : les personnes à l’emploi d’un ministère, d’un organisme public ou d’une entreprise du gouvernement du Québec ou toute personne offrant des services à ces organisations aux termes d’un contrat de services professionnels en technologie de l’information. Si ces personnes découvrent une vulnérabilité, elles sont invitées à la signaler au moyen de la plateforme de signalement de vulnérabilité au https://www.cyber.gouv.qc.ca/vulnerabilite/
• Ne laisser aucun actif dans un état plus vulnérable qu’il ne l’était initialement
• Ne jamais forcer les informations d’identification ni essayer de deviner celles-ci afin d’accéder aux actifs
• Ne participer d’aucune manière à des attaques par déni de service
• Ne pas télécharger d’invité de commandes ni créer de porte dérobée
• Ne jamais divulguer publiquement une vulnérabilité sans le consentement officiel des autorités
• Ne prendre part à aucune forme d’ingénierie sociale des employés du gouvernement, des clients ou des fournisseurs
• Ne jamais engager, impliquer ou cibler un employé du gouvernement, un client ou un fournisseur durant les tests
• Ne pas extraire, télécharger ni exfiltrer des données qui pourraient contenir des informations personnelles ou sensibles pouvant compromettre la sécurité d’autrui. Un tel comportement est passible de poursuites criminelles
• Ne jamais modifier le mot de passe d’un compte qui ne vous appartient pas ou que vous n’êtes pas autorisé à modifier
  Note : Si jamais vous avez la possibilité de modifier le mot de passe d’un compte qui n’est pas le vôtre ou qui ne vous a pas été assigné, signalez la découverte
• S’assurer que vos actions ne puissent en aucun cas être considérées comme une violation de la vie privée ou provoquer la destruction de données, l’interruption et la dégradation d’un service
• Ne pas interagir avec des comptes pour lesquels vous n’avez pas obtenu la permission du titulaire

Vulnérabilités acceptées

• Exécution de code à distance (RCE)
• Accès et manipulation de fichiers locaux (LFI, RFI, XXE, SSRF, XSPA)
• Injections de code (HTML, JS, SQL, PHP)
• Script intersites (XSS)
• Contrefaçon de requêtes intersites (CSRF) avec un impact réel sur la sécurité
• Redirection ouverte
• Authentification cassée et gestion de session
• Références directes d’objet non sécurisées (IDOR)
• Mauvaise configuration CORS avec un impact réel sur la sécurité
• Élévation horizontale et verticale des privilèges
• Erreurs de logique

Vulnérabilités exclues

• Le détournement de clic sur les pages statiques ou n’ayant pas d’effets réels sur la sécurité de l’actif informationnel
• Cross-Site Request Forgery (CSRF) sur des formulaires non authentifiés ou des formulaires sans actions sensibles
• Attaque par interception nécessitant un accès MITM ou physique à l’appareil d’un utilisateur
• Code source accessible (open source) ou bibliothèques tierces vulnérables connues, à moins que la vulnérabilité ne puisse être exploitée au sein d’une application dans le champ d’application
• Injection de valeurs séparées par des virgules (CSV) sans démontrer de vulnérabilité
• Bonnes pratiques manquantes dans la configuration SSL/TLS
• Toute activité pouvant entraîner une interruption du service (DoS)
• Problème d’usurpation de contenu et d’injection de texte sans montrer de vecteur d’attaque ou sans pouvoir modifier les balises HTML ni le code CSS
• Problème de limitation de débit ou de force brute sur les points de terminaison sans authentification
• Bonnes pratiques manquantes dans la politique de sécurité du contenu
• Indicateurs HttpOnly ou Secure manquants sur les témoins de navigation (cookies)
• Bonnes pratiques relatives aux courriels manquants (protocoles SPF/DKIM/DMARC non valides, incomplets ou manquants, etc.)
• Vulnérabilités affectant uniquement les utilisateurs de navigateurs obsolètes ou non corrigés.
  Note : Un navigateur est considéré obsolète ou non corrigé s’il existe deux versions stables ou moins depuis la dernière qui a été publiée
• Divulgation de la version du logiciel
• Problèmes d’identification de la bannière
• Messages d’erreur ou en-têtes descriptifs (par exemple, traces de pile, erreurs d’application ou de serveur, etc.)
• Les vulnérabilités publiques Zero-Day qui ont un correctif officiel depuis moins d’un mois seront attribuées au cas par cas
• Tabnabbing
  Note : Technique de piratage basée sur les habitudes de navigation par onglet
• Problèmes nécessitant une interaction improbable de l’utilisateur
• Délais d’expiration de session excessifs
• Attaques par bourrage de justificatifs
• Divulgation des adresses IP et des chemins internes, sauf s’il s’agit d’un code d’exploitation nuisible ou si cette divulgation démontre un impact affaire
• Saisie semi-automatique activée
• En-têtes manquants liés à la sécurité tels que : content-security-policy, public-key-pins, x-xss-protection, x-content-type-options, x-frame-options
• Résultats des scanners automatisés : ingénierie sociale, attaques par hameçonnage, attaques physiques et attaques contre les protocoles réseaux
• Contourner le pare-feu applicatif protégeant les composantes Web (WAF)
• Auto XSS
• Page d’authentification exposée
• Prises de contrôle de sous-domaines sans preuve de concept
• Ports ouverts sans preuve de concept d’accompagnement démontrant la vulnérabilité
• Énumération d'utilisateurs
• Téléversement de fichiers infectés par un virus
• Toutes trouvailles qui n'ont pas d'impact sur confidentialité, disponibilité et intégrité

Périmètre du Programme

Hors périmètre

• Tous les actifs qui ne sont pas inclus dans le périmètre

Exigences de chasse

USER AGENT

Veuillez ajouter à votre en-tête « USER AGENT » la valeur suivante : 'MCN-Prime-aux-bogues'.

English

In April 2022, the Ministère de la Cybersécurité et du Numérique (MCN) created the new Prime aux bogues Programto structure and strengthen responses to ensure cybersecurity within the government.
Through this program, MCN wants to engage the information security research community, with the help of the YesWeHackplatform, to identify potential vulnerabilities within our IT assets.
The objectives of this program are to:

• Ensure the protection and resilience of public services and government electronic exchanges.
• Accelerate the handling of vulnerabilities within the government.
• Establish collaborative research and innovation partnerships.

MCN believes that collaboration from the information security research community is essential. It provides greater leverage in identifying potential cyber weaknesses in its assets.
If you have noticed or suspect a security vulnerability in any of our technologies, we encourage you to contact us quickly. This way, if it really is a vulnerability and all the conditions are met, you will be rewarded for your discovery and will be able to collaborate with our team to solve the problem.

Terms and Conditions (accepted)

• Comply with these CGCD Prime aux bogues Program Terms
• Comply with privacy policies. Don’t process, destroy, or access personal data
• Be specific and provide detailed working documents that make it easy to understand your comments and explanations
• Respect the work of others and encourage collaboration
• Only use personal or authorized accounts during the tests to be conducted
• Exercise caution during tests to be conducted to avoid security issues and negative impact on customers and their services
• Be careful and conscientious by immediately reporting doubts at the first observation and wait for confirmation authorizing the continuation of tests

Terms and Conditions (refused)

• People employed by a ministry, public agency or an enterprise of the Gouvernement du Québec or any person providing services to these organizations under a professional contract in technology of information are not eligible to participate in the Gouvernement du Québec's "primes aux bogues" program. If these individuals discover a vulnerability, they are invited to report it to the Vulnerability Reporting Platform at https://www.cyber.gouv.qc.ca/vulnerabilite/.
• Don’t leave any asset in a more vulnerable state than it was initially
• Never force identification information, or try to guess identification information in order to access assets
• Don’t participate in denial-of-service attacks
• Don’t download a command prompt or create a backdoor
• Never publicly disclose a vulnerability without official consent from authorities
• Don’t take part in any form of social engineering of government employees, customers, or suppliers
• Never engage, or involve, or target any government employee, customer, or supplier during testing
• Don’t attempt to extract, download, or export data that may contain personal or sensitive information that could compromise the security of others: Such behaviour is subject to criminal prosecution
• Never change the password of an account that you do not own or that you are not authorized to change
  Note: If you ever have the opportunity to change the password of an account that is not yours, or that has not been assigned to you, report the discovery
• Ensure that your actions cannot in any way be considered a violation of privacy or cause the destruction of data, the interruption, and degradation of a service
• Don’t interact with accounts for which you have not obtained permission from the owner

Accepted vulnerabilities

• Remote code execution (RCE)
• Local files access and manipulation (LFI, RFI, XXE, SSRF, XSPA)
• Code injections (HTML, JS, SQL, PHP)
• Cross-Site Scripting (XSS)
• Cross-Site Requests Forgery (CSRF) with real security impact
• Open redirect
• Broken authentication & session management
• Insecure direct object references (IDOR)
• CORS misconfig with real security impact
• Horizontal and vertical privilege escalation
• Business Logic Errors

Excluded vulnerabilities

• Clickjacking on pages with no sensitive actions
• Cross-Site Request Forgery (CSRF) on unauthenticated forms or forms with no sensitive actions
• Attacks requiring MITM or physical access to a user's device
• Known vulnerable 3rd party or open-source libraries unless the vulnerability can be exploited within an in-scope application
• Comma Separated Values (CSV) injection without demonstrating a vulnerability
• Missing best practices in SSL/TLS configuration
• Any activity that could lead to the disruption of our service (DoS)
• Content spoofing and text injection issues without showing an attack vector/without being able to modify HTML/CSS
• Rate limiting or bruteforce issues on non-authentication endpoints
• Missing best practices in Content Security Policy
• Missing HttpOnly or Secure flags on cookies
• Missing email best practices (Invalid, incomplete, or missing SPF/DKIM/DMARC records, etc.)
• Vulnerabilities only affecting users of outdated or unpatched browsers [Less than 2 stable versions behind the latest released stable version]
• Software version disclosure / Banner identification issues / Descriptive error messages or headers (e.g., stack traces, application, or server errors)
• Public Zero-day vulnerabilities that have had an official patch for less than 1 month will be awarded on a case-by-case basis
• Tabnabbing
• Issues that require unlikely user interaction
• Excessive Session timeouts
• Password stuffing attacks
• Disclosure of Internal IPs and Paths, unless it is a harmful exploit or demonstrates a business impact
• Autocomplete enabled
• Missing security-related headers, such as: content-security-policy, public-key-pins, x-xss-protection, x-content-type-options, x-frame-options
• Findings from automated scanners *Social engineering, Phishing attacks, Physical attacks, and attacks against Network protocols
• Bypassing WAF
• Self XSS
• Exposed login panels
• Subdomain takeovers without a proof-of-concept
• Open ports without an accompanying proof-of-concept demonstrating vulnerability
• User enumeration
• Uploading virus-infected files
• Any findings that have no impact on confidentiality, availability and integrity