report

Pratiques en matière de sécurité des produits

Découvrez nos pratiques en matière de sécurité des produits logiciels

McAfee a pour mission d'assurer la sécurité des ordinateurs, des réseaux, des équipements et des données de ses clients. Nous remédions aux problèmes dès qu'ils surviennent et avançons des recommandations par le biais de bulletins de sécurité et d'articles publiés dans notre base de connaissances. Si vous avez besoin d'assistance, souhaitez soumettre un échantillon de virus ou demander une catégorisation d'URL, sélectionnez le bouton pertinent. Pour signaler une vulnérabilité de sécurité dans l'un de nos produits ou sites web, cliquez sur l'onglet « Signaler une vulnérabilité » ci-dessous.

Envoyer un échantillon de virusContacter le support pour entreprisesContacter le support pour particuliersDemande de classification d'URL

21 mai 2018 : Spectre-NG

Une série de deux nouvelles vulnérabilités aux attaques par canaux auxiliaires révélées par Intel le 21 mai 2018, appelées Spectre NG, affectent les appliances McAfee.

  • CVE-2018-3639 : Speculative Store Bypass (SSB) – aussi appelé Variante 4
  • CVE-2018-3640 : Rogue System Register Read (RSRE) – aussi appelé Variante 3a

Articles de la base de connaissances :

  • KB90619 : Réaction de McAfee aux rapports sur Spectre-NG

 

Voir toutes les archives des bannières
Bulletins de sécurité
Bulletins de sécurité – Particuliers

McAfee s'est associé à HackerOne pour gérer les signalements de problèmes de sécurité ou vulnérabilités potentiels dans nos produits et sites web publics. En partenariat avec HackerOne, nous avons mis en place un programme privé auquel vous devrez être invité avant de soumettre votre signalement.

Pour soumettre votre premier signalement, envoyez un e-mail à l'adresse security_report@mcafee.com.

Vous recevrez une réponse automatisée du système d'HackerOne contenant des instructions détaillées sur la procédure à suivre. Les signalements suivants pourront être soumis directement par le biais du système d'HackerOne.

Toutes les informations figurant dans votre e-mail initial seront automatiquement ajoutées au système d'HackerOne.

Après avoir accédé au système, veuillez fournir les informations suivantes :

  • Informations de contact (toutes les interactions surviendront via le système)
  • Résumé de vos observations
  • Étapes détaillées à reproduire, y compris les éventuels échantillons de code et captures d'écran/vidéos
  • Vulnérabilités dans les produits
    • Produit, version et système d'exploitation
  • Vulnérabilités dans les sites web
    • Navigateur et version
  • Plans de divulgation

Signalement de vulnérabilité identifiée dans un produit ou site web

Adresse e-mail de l'équipe McAfee PSIRT :
security_report@mcafee.com

Problèmes concernant les performances d'un produit ou d'un logiciel destiné aux entreprises, ou un abonnement
Support pour les entreprises

Problème concernant les performances d'un produit ou d'un logiciel destiné aux particuliers, ou un abonnement
Support pour les particuliers

Soumettre un échantillon de virus
En savoir plus

Soumettre une URL pour la classification ou contester une classification
En savoir plus

Contacter l'équipe McAfee PSIRT
Adresse e-mail : security_report@mcafee.com

Déclarations de stratégies de l'équipe PSIRT

Solutions directement utilisables
McAfee n'annoncera pas publiquement l'existence d'une vulnérabilité concernant un produit ou un logiciel sans proposer de solution, de patch, de correctif (hotfix) ou de mise à jour logicielle directement utilisable. Sinon, nous ne ferions qu'informer la communauté cybercriminelle que nos produits constituent une cible de choix et nous rendrions nos clients vulnérables aux attaques. Pour les vulnérabilités fortement médiatisées, telles que HeartBleed, nous publierons une bannière signalant notre connaissance du problème et les mesures correctives à prendre.

Pas de favoritisme
Par souci d'équité, McAfee informe tous ses clients au même moment des vulnérabilités concernant un produit. Les grands comptes ne sont pas mis au courant plus tôt. Une annonce anticipée peut être autorisée par le RSSI au cas par cas, moyennant la signature d'un accord de non-divulgation strict.

Découvreurs
McAfee reconnaît uniquement la contribution d'un découvreur de vulnérabilité externe lorsque celui-ci :

  • souhaite être identifié en tant que tel ;
  • n'a pas lancé d'attaque « jour zéro » à notre encontre ou n'a pas rendu publiques ses recherches avant la publication d'un bulletin de sécurité ou d'un article dans la base de connaissances.

Les organisations et les individus peuvent être identifiés en tant que découvreurs.

Affectation d'un score CVSS
Il convient d'utiliser la version la plus récente du système CVSS (Common Vulnerability Scoring System). La version 3 du système CVSS est actuellement utilisée.

Tous les bulletins de sécurité doivent mentionner les scores CVSS pour chaque vulnérabilité, de même que les vecteurs CVSS associés. Le score de base est obligatoire. Les scores environnementaux et temporels sont facultatifs. Idéalement, les scores de base doivent correspondre aux identifiants CVE attribués par le NIST.

Message du service SNS (Support Notification Service)
Un message, une notification ou une alerte du service SNS doit être émis pour tous les bulletins de sécurité. Il s'agit là d'un service sur lequel s'appuient les clients McAfee Enterprise Support, de même que d'autres clients.

Pour vous abonner aux messages texte du service SNS, accédez au Centre de requêtes SNS et inscrivez-vous.

Stratégie de réponse
La solution proposée et l'alerte lancée par McAfee dépendent du score de base CVSS le plus élevé.

Priorité (sécurité)Score CVSS Solution typique* SNS
P1 - Niveau critique 9.0-10.0 Niveau élevé Correctif (hotfix) Alerte
P2 - Niveau élevé 7.0-8.9 Niveau élevé Mettre à jour Notification
P3 - Niveau moyen 4.0-6.9 Niveau moyen Mettre à jour Notification
P4 - Niveau faible 0.0-3.9 Niveau faible Mise à jour logicielle Facultatif
P5 - Info 0.0 Ne sera pas corrigé. Information. S.O.

*Remarque : la solution proposée dépend de la gravité de la vulnérabilité, du cycle de vie du produit et de la viabilité d'une telle solution. La solution typique décrite ci-dessus ne constitue pas un engagement à produire un correctif (hotfix), un patch ou une mise à jour logicielle pour toutes les versions de produits prises en charge.


Mécanismes de communication externes
Le mécanisme de communication externe de McAfee dépend du score de base CVSS, du nombre de demandes de renseignements reçues des clients et de l'attention accordée par les médias.                                    

  • SB = Bulletin de sécurité (4-10)
  • KB = Article publié dans la base de connaissance (2-4)
  • SS = Déclaration de support (0-4)
  • NN = Non nécessaire (0)
 CVSS = 0
Gravité faible
0 < CVSS < 4
Gravité faible
4 ≤ CVSS < 7
Gravité moyenne
7 ≤ CVSS < 10
Gravité élevée
Divulgation externe (CVE)* KB en cas de demandes de renseignements multiples, sinon NN KB SB, SNS SB, SNS
Divulgation par le client SS SS SB, SNS SB, SNS
Divulgation interne NN Document dans notes de publication SB (post-publication), document dans notes de publication SB
(post-publication), document dans notes de publication

*Par défaut, McAfee n'émet pas de bulletins CVE pour les problèmes dont le score de risque est inférieur à 4.0.



Scénarios de crise
Pour les vulnérabilités de gravité élevée qui concernent plusieurs produits et sont connues du public, un bulletin de sécurité peut être publié avec un patch pour un produit, puis être mis à jour ultérieurement avec des patchs et descriptions supplémentaires pour les autres produits lorsqu'ils seront disponibles.

Les bulletins de sécurité portant sur plusieurs produits vulnérables établiront la liste de tous les produits, entreprises et clients concernés dans les catégories suivantes :

  • Vulnérable et mis à jour
  • Vulnérable et pas encore mis à jour
  • Vulnérable avec un risque mineur (étant donné les meilleures pratiques en matière de déploiements standard)
  • Non vulnérable
  • En cours d'investigation (facultatif)

Les bulletins de sécurité ne sont généralement pas publiés les vendredis après-midi, sauf en cas de crise.

Scores de vulnérabilité et scores de risque
McAfee participe au système d'évaluation de la criticité des vulnérabilités CVSS, mis en place par le secteur de la sécurité informatique. Les scores CVSS doivent être considérés comme un point de départ pour déterminer le risque que représente une vulnérabilité particulière pour les clients McAfee. Il ne s'agit pas d'une évaluation des risques complète de la gravité des vulnérabilités pouvant apparaître dans les produits McAfee ou les environnements d'exécution associés sur lesquels les produits McAfee sont exécutés.

Le score CVSS de base détermine notre réponse initiale à un incident donné.

Les Bulletins de sécurité peuvent contenir des listes de produits accompagnés des désignations suivantes : Vulnérable, Non vulnérable, Vulnérable mais non exploitable, Vulnérable avec un risque mineur. La liste ci-dessous donne la signification de chacune de ces catégories en termes d'impact potentiel pour les clients :

  • Vulnérable : Le produit contient la vulnérabilité attestée. La vulnérabilité pose un certain risque pour les clients. Le score CVSS associé peut être utilisé comme indication de la gravité de l'impact en cas d'exploitation de la vulnérabilité dans des scénarios de déploiement standard.
  • Non vulnérable : Le produit ne contient pas la vulnérabilité ou la présence d'un composant vulnérable ne peut être exploitée d'aucune façon. L'utilisation du produit ne présente aucun risque supplémentaire pour les clients.
  • Vulnérable mais non exploitable : Le produit contient la vulnérabilité, par exemple sous forme de bibliothèque incluse ou d'exécutable dans l'image logicielle. Cependant, le produit intègre des contrôles de sécurité tels que la vulnérabilité n'est pas exposée aux agents de menace et qu'une exploitation de la vulnérabilité est extrêmement difficile, voire impossible. L'utilisation du produit ne présente aucun risque supplémentaire pour les clients.
  • Vulnérable avec un risque mineur : Le produit contient la vulnérabilité, par exemple sous forme de bibliothèque incluse ou d'exécutable dans l'image logicielle, mais l'impact d'une exploitation est négligeable et ne présente aucun intérêt pour les attaquants. L'utilisation du produit n'est susceptible de présenter qu'un risque supplémentaire négligeable pour les clients qui utilisent le produit dans les scénarios de déploiement standard et recommandés.