Bulletins de sécurité

Pratiques en matière de sécurité des produits

Découvrez nos pratiques en matière de sécurité des produits logiciels

McAfee a pour mission d'assurer la sécurité des ordinateurs, des réseaux, des équipements et des données de ses clients. Nous remédions aux problèmes dès qu'ils surviennent et avançons des recommandations par le biais de bulletins de sécurité et d'articles publiés dans notre base de connaissances. Pour en savoir plus, contactez l'équipe PSIRT.

Envoyer un échantillon de virusContacter le support technique

3 janvier 2018 : Meltdown et Spectre
Trois vulnérabilités dévoilées par Intel le 3 janvier 2018 et appelées collectivement Meltdown et Spectre, affectent les appliances McAfee. Spectre : CVE-2017-5715 et CVE-2017-5753, Meltdown : CVE-2017-5754.

Articles de la base de connaissances :

  • SB10226   Bulletin de sécurité Meltdown/Spectre
  • KB90167  – Meltdown et Spectre – Informations de compatibilité des produits McAfee (produits pour entreprises)
  • TS102769  – Mise à jour de sécurité Microsoft de janvier 2018 (Meltdown et Spectre) et produits McAfee pour particuliers


Articles de blog McAfee :

Bulletins de sécurité

Si vous disposez d'informations au sujet d'une vulnérabilité ou d'un problème de sécurité concernant un produit McAfee, envoyez un e-mail à l'adresse PSIRT@McAfee.com. Chiffrez les informations sensibles en utilisant la clé publique PGP de McAfee.
Veuillez fournir le plus d'informations possible, notamment :

  • Données de contact du découvreur :
    • Nom (nom et prénom ou pseudonyme)
    • Adresse physique (au moins l'emplacement géographique général)
    • Affiliation / Entreprise
    • Adresse e-mail
    • Numéro de téléphone
  • Informations concernant les produits :
    • Versions matérielles et/ou produits affectés (numéro de build, s'il est connu)
    • Système d'exploitation (s'il est connu)
    • Configuration logicielle et/ou matérielle
  • Informations concernant la vulnérabilité :
    • Description détaillée de la vulnérabilité
    • Code d'échantillon utilisé pour créer / vérifier la vulnérabilité
    • Informations concernant les exploits connus
    • Identifiant CVE (si la vulnérabilité a déjà été enregistrée)
    • URL ou lien vers des informations supplémentaires permettant au département d'ingénierie d'analyser ou d'identifier l'origine du problème
  • Plans de communication :
    • Plans de divulgation (dates et lieu)
    • Permission d'être identifié en tant que découvreur dans le bulletin de sécurité

Un membre du McAfee Product Security Group (PSG) et/ou de l'équipe PSIRT (Product Security Incident Response Team) examinera votre e-mail et vous contactera pour coopérer à la résolution du problème.

Classification

Toutes les vulnérabilités concernant un produit sont traitées par le McAfee Product Security Group (PSG). Pour les autres problèmes, contactez l'une des équipes suivantes :

Les vulnérabilités concernant une application informatique ou web sont traitées par le centre SOC du département McAfee Global Security Services (GSS).

Vulnérabilité concernant une application informatique ou web
SOC McAfee
Adresse e-mail : abuse.report@mcafee.com
Téléphone : +1 972-987-2745

Les requêtes externes concernant les performances de produits en cours de commercialisation sont traitées par le support technique McAfee.

Problème concernant les performances d'un produit ou d'un logiciel, ou un abonnement
Support technique McAfee
Site web : http://www.mcafee.com/fr/support.aspx

Les échantillons de virus et de logiciels malveillants sont pris en charge par McAfee Labs.

Pour envoyer un échantillon de virus
McAfee Labs
Adresse e-mail : virus_research@mcafee.com
Site web : http://www.mcafee.com/enterprise/fr-fr/threat-center/how-to-submit-sample.html

Pour contacter l'équipe PSIRT McAfee
Adresse e-mail : PSIRT@McAfee.com
Téléphone : +1 408-753-5752

Déclarations de stratégies de l'équipe PSIRT

Solutions directement utilisables
McAfee n'annoncera pas publiquement l'existence d'une vulnérabilité concernant un produit ou un logiciel sans proposer de solution, de patch, de correctif (hotfix) ou de mise à jour logicielle directement utilisable. Sinon, nous ne ferions qu'informer la communauté cybercriminelle que nos produits constituent une cible de choix et nous rendrions nos clients vulnérables aux attaques. Pour les vulnérabilités fortement médiatisées, telles que HeartBleed, nous publierons une bannière signalant notre connaissance du problème et les mesures correctives à prendre.

Pas de favoritisme
Par souci d'équité, McAfee informe tous ses clients au même moment des vulnérabilités concernant un produit. Les grands comptes ne sont pas mis au courant plus tôt. Une annonce anticipée peut être autorisée par le McAfee Product Security Group (PSG) au cas par cas, moyennant la signature d'un accord de non-divulgation strict.

Découvreurs
McAfee reconnaît uniquement la contribution d'un découvreur de vulnérabilité externe lorsque celui-ci :

  • souhaite être identifié en tant que tel ;
  • n'a pas lancé d'attaque « jour zéro » à notre encontre ou n'a pas rendu publiques ses recherches avant la publication d'un bulletin de sécurité ou d'un article dans la base de connaissances.

Les organisations et les individus peuvent être identifiés en tant que découvreurs.

Affectation d'un score CVSS
Il convient d'utiliser la version la plus récente du système CVSS (Common Vulnerability Scoring System). La version 3 du système CVSS est actuellement utilisée.

Tous les bulletins de sécurité doivent mentionner les scores CVSS pour chaque vulnérabilité, de même que les vecteurs CVSS associés. Le score de base est obligatoire. Les scores environnementaux et temporels sont facultatifs. Idéalement, les scores de base doivent correspondre aux identifiants CVE attribués par le NIST.

Message du service SNS (Support Notification Service)
Un message, une notification ou une alerte du service SNS doit être émis pour tous les bulletins de sécurité. Il s'agit là d'un service sur lequel s'appuient les clients McAfee Enterprise Support, de même que d'autres clients.

Pour vous abonner aux messages texte du service SNS, accédez au Centre de requêtes SNS et inscrivez-vous.

Stratégie de réponse
La solution proposée et l'alerte lancée par McAfee dépendent du score de base CVSS le plus élevé.

Priorité (sécurité)Score CVSS version 2 Solution typique* SNS
P1 - Niveau critique 8.5-10.0 Niveau élevé Correctif (hotfix) Alerte
P2 - Niveau élevé 7.0-8.4 Niveau élevé Patch Notification
P3 - Niveau moyen 4.0-6.9 Niveau moyen Patch Notification
P4 - Niveau faible 0.0-3.9 Niveau faible Mise à jour logicielle Facultatif
P5 - Info 0.0 Ne sera pas corrigé. Information. S.O.

*Remarque : la solution proposée dépend de la gravité de la vulnérabilité, du cycle de vie du produit et de la viabilité d'une telle solution. La solution typique décrite ci-dessus ne constitue pas un engagement à produire un correctif (hotfix), un patch ou une mise à jour logicielle pour toutes les versions de produits prises en charge.


Mécanismes de communication externes
Le mécanisme de communication externe de McAfee dépend du score de base CVSS, du nombre de demandes de renseignements reçues des clients et de l'attention accordée par les médias.                                    

  • SB = Bulletin de sécurité (4-10)
  • KB = Article publié dans la base de connaissance (2-4)
  • SS = Déclaration de support (0-4)
  • NN = Non nécessaire (0)
 CVSS = 0
Gravité faible
0 < CVSS < 4
Gravité faible
4 ≤ CVSS < 7
Gravité moyenne
7 ≤ CVSS < 10
Gravité élevée
Divulgation externe (CVE) KB en cas de demandes de renseignements multiples, sinon NN KB SB, SNS SB, SNS
Divulgation par le client SS SS SB, SNS SB, SNS
Divulgation interne NN Document dans notes de publication SB (post-publication), document dans notes de publication SB
(post-publication), document dans notes de publication


Scénarios de crise
Pour les vulnérabilités de gravité élevée qui concernent plusieurs produits et sont connues du public, un bulletin de sécurité peut être publié avec un patch pour un produit, puis être mis à jour ultérieurement avec des patchs et descriptions supplémentaires pour les autres produits lorsqu'ils seront disponibles.

Les bulletins de sécurité portant sur plusieurs produits vulnérables établiront la liste de tous les produits, entreprises et clients concernés dans les catégories suivantes :

  • Vulnérable et mis à jour
  • Vulnérable et pas encore mis à jour
  • Vulnérable avec un risque mineur (étant donné les meilleures pratiques en matière de déploiements standard)
  • Non vulnérable
  • En cours d'investigation (facultatif)

Les bulletins de sécurité ne sont généralement pas publiés les vendredis après-midi, sauf en cas de crise.

Scores de vulnérabilité et scores de risque
McAfee participe au système d'évaluation de la criticité des vulnérabilités CVSS, mis en place par le secteur de la sécurité informatique. Les scores CVSS doivent être considérés comme un point de départ pour déterminer le risque que représente une vulnérabilité particulière pour les clients McAfee. Il ne s'agit pas d'une évaluation des risques complète de la gravité des vulnérabilités pouvant apparaître dans les produits McAfee ou les environnements d'exécution associés sur lesquels les produits McAfee sont exécutés.

En complément du score CVSS, McAfee utilise le système JGERR (Just Good Enough Risk Rating) pour évaluer le risque posé par les problèmes potentiels susceptibles d'affecter les produits McAfee. Le système JGERR a été adopté en tant que SANS Institute Smart Guide (Guide intelligent du Sans Institute) en 2012. Il repose sur la norme FAIR (Factor Analysis of Information Risk), établie par le consortium Open Group. Lorsque le risque est évalué à l'aide du système JGERR, de nombreux facteurs supplémentaires sont intégrés dans l'analyse des risques, tels que la présence et l'activité d'agents de menace, les vecteurs d'attaque, l'exposition d'une vulnérabilité aux agents de menace, le degré de difficulté d'exploitation de la vulnérabilité et l'impact d'une exploitation. La vulnérabilité en tant que telle n'est qu'un des aspects de l'évaluation des risques McAfee.

Le score CVSS de base détermine notre réponse initiale à un incident donné. L'évaluation des risques McAfee détermine le délai de distribution d'un patch ou d'une mise à jour.

Les Bulletins de sécurité peuvent contenir des listes de produits accompagnés des désignations suivantes : Vulnérable, Non vulnérable, Vulnérable mais non exploitable, Vulnérable avec un risque mineur. La liste ci-dessous donne la signification de chacune de ces catégories en termes d'impact potentiel pour les clients :

  • Vulnérable : Le produit contient la vulnérabilité attestée. La vulnérabilité pose un certain risque pour les clients. Le score CVSS associé peut être utilisé comme indication de la gravité de l'impact en cas d'exploitation de la vulnérabilité dans des scénarios de déploiement standard.
  • Non vulnérable : Le produit ne contient pas la vulnérabilité ou la présence d'un composant vulnérable ne peut être exploitée d'aucune façon. L'utilisation du produit ne présente aucun risque supplémentaire pour les clients.
  • Vulnérable mais non exploitable : Le produit contient la vulnérabilité, par exemple sous forme de bibliothèque incluse ou d'exécutable dans l'image logicielle. Cependant, le produit intègre des contrôles de sécurité tels que la vulnérabilité n'est pas exposée aux agents de menace et qu'une exploitation de la vulnérabilité est extrêmement difficile, voire impossible. L'utilisation du produit ne présente aucun risque supplémentaire pour les clients.
  • Vulnérable avec un risque mineur : Le produit contient la vulnérabilité, par exemple sous forme de bibliothèque incluse ou d'exécutable dans l'image logicielle, mais l'impact d'une exploitation est négligeable et ne présente aucun intérêt pour les attaquants. L'utilisation du produit n'est susceptible de présenter qu'un risque supplémentaire négligeable pour les clients qui utilisent le produit dans les scénarios de déploiement standard et recommandés.