Vous quittez notre site Web pour accéder à un site tiers sur lequel nous n’avons aucun contrôle.
Confidentialité et sécurité
Signaler une vulnérabilité
Comment signaler une vulnérabilité
À la TD, nous sommes engagés à préserver la sécurité de nos systèmes et des renseignements sur les clients. L'apport des experts, des chercheurs et de nos clients pour servir cet objectif est bienvenu. Si vous pensez avoir repéré une potentielle vulnérabilité sur le plan de la sécurité dans une application de la TD, envoyez-nous un courriel à td.responsibledisclosure@td.com.
Remarque : Cette adresse courriel sert à signaler une potentielle vulnérabilité sur le plan de la sécurité dans une application de la TD. Si vous avez besoin de soutien concernant toute autre question, notamment une fraude potentielle, communiquez avec notre équipe du Service à la clientèle.
La TD n'a pas de programme rémunéré de chasse aux bogues et ne récompense ni ne rémunère les signalements de problèmes potentiels, conformément au programme décrit dans la présente politique.
Merci à l'avance pour votre soumission et votre contribution à nos efforts de sécurité.
Exigences générales
- Effectuez uniquement des recherches sur du contenu public.
- N'enregistrez pas les données de la TD, ne les transmettez pas et ne compromettez pas leur sécurité.
- N'effectuez ni ne facilitez aucune opération frauduleuse.
- Ne divulguez pas les vulnérabilités potentielles à des tiers ou au public avant d'avoir obtenu la permission écrite de la TD.
Si vous obtenez la permission écrite, coordonnez la divulgation ou la publication de vos recherches avec la TD. Limitez également le contenu de votre divulgation de façon à éviter raisonnablement qu'une personne ne tire profit de la vulnérabilité (p. ex. ne divulguez pas au public de code exécutable ou de démonstration de faisabilité).
Portée
Cette politique s'applique aux systèmes accessibles publiquement et détenus, opérés ou contrôlés par le Groupe Banque TD, dont les applications Web et mobiles ou les services hébergés sur ces systèmes.
Pour toute question liée à une application ou un domaine précis sur lequel vous voudriez faire des recherches, envoyez un courriel TD.ResponsibleDisclosure@td.com
Ce programme ne vous autorise pas à effectuer les tâches suivantes : tester la sécurité physique du matériel de la TD; mener des attaques de piratage sur les employés ou les clients de la TD (p. ex. courriels ou sites d'hameçonnage); mener des attaques de surcharge ou par déni de service; utiliser des outils d'analyse de masse qui reposent sur des volumes élevés de trafic, ce qui peut entraîner le blocage de votre adresse IP.
Activités et vulnérabilités non visées
Certaines activités de recherche et vulnérabilités ne sont pas visées par cette politique. En voici quelques exemples :
- Tests physiques
- Piratage psychologique (p. ex., tentatives de voler des témoins et fausses pages d’ouverture de session pour obtenir les codes d’accès)
- Hameçonnage
- Attaques par déni de service
- Attaques de surcharge
Avis juridique
Vous devez respecter toutes les lois applicables en lien avec votre participation à ce programme.
Si vous effectuez des recherches et soumettez vos résultats à la TD conformément à cette politique, la TD considérera que cette activité représente une conduite autorisée.
La TD se réserve la possibilité d'appliquer tous ses droits juridiques aux activités décrites dans cette politique.
En soumettant votre signalement à la TD (votre « soumission »), vous acceptez ce qui suit :
- La TD peut prendre toutes les mesures nécessaires pour vérifier et réduire la vulnérabilité.
- La TD peut communiquer ou divulguer la vulnérabilité conformément à cette politique.
- La TD peut recueillir, utiliser, communiquer ou divulguer tout renseignement personnel que vous lui fournissez dans le cadre de votre soumission.
- Vous donnez à la TD tous les droits nécessaires à l'égard de votre soumission pour prendre n'importe laquelle des mesures ci-dessus.
Soumettre un signalement
La TD est particulièrement intéressée par les vulnérabilités recensées parmi les 10 principales vulnérabilités de l'Open Web Application Security Project (OWASP) ou les vulnérabilités qui ont une incidence mesurable sur la sécurité. Lorsque vous signalez une vulnérabilité potentielle, veuillez inclure une description détaillée de votre découverte, y compris ce qui suit :
- Adresse URL complète
- Description claire et concise des étapes suivies
- Tous les outils utilisés pour arriver à la découverte
- Tous les objets possiblement touchés (p. ex. filtres ou champs de saisie)
- Preuve (p. ex. saisies d'écran)
- Votre évaluation du risque (préférablement selon le CVSS 3.1)
- Le scénario de l'attaque, l'exploitabilité et l'incidence sur la sécurité de la vulnérabilité
- Toute solution proposée (facultatif)
Prenez note que nous ne demandons ni n'exigeons de copies exécutables de code.
En soumettant un signalement à la TD, vous indiquez avoir lu, compris et accepté cette politique.
Veuillez soumettre votre signalement à : td.responsibledisclosure@td.com
Lorsque la TD recevra votre courriel, vous recevrez un courriel automatique de confirmation. Nous communiquerons avec vous seulement si nous avons besoin de renseignements supplémentaires pour examiner le problème.
Nous déploierons des efforts raisonnables pour examiner les problèmes et les régler rapidement, mais, pour protéger nos clients, nous pourrions choisir de ne pas divulguer ou confirmer les problèmes de sécurité ou de ne pas en discuter.
Encore une fois, merci pour votre soumission.