Pratiques en matière de sécurité des produits

Découvrez nos pratiques en matière de sécurité des produits logiciels

McAfee a pour mission d'assurer la sécurité des ordinateurs, des réseaux, des équipements et des données de ses clients. Nous remédions aux problèmes dès qu'ils surviennent et avançons des recommandations par le biais de bulletins de sécurité et d'articles publiés dans notre base de connaissances. Pour en savoir plus, contactez l'équipe PSIRT. Pour la procédure à suivre pour signaler un problème de sécurité ou une vulnérabilité à McAfee, lisez les instructions dans l'onglet « Signaler une vulnérabilité » ci-dessous.

Envoyer un échantillon de virusContacter le support technique

21 mai 2018 : Spectre-NG

Une série de deux nouvelles vulnérabilités aux attaques par canaux auxiliaires révélées par Intel le 21 mai 2018, appelées Spectre NG, affectent les appliances McAfee.

  • CVE-2018-3639 : Speculative Store Bypass (SSB) – aussi appelé Variante 4
  • CVE-2018-3640 : Rogue System Register Read (RSRE) – aussi appelé Variante 3a

Articles de la base de connaissances :

  • KB90619 : Réaction de McAfee aux rapports sur Spectre-NG

 

Voir toutes les archives des bannières
Bulletins de sécurité
Bulletins de sécurité – Particuliers
TS102769 Mise à jour de sécurité Microsoft de janvier 2018 (Meltdown et Spectre) et produits McAfee pour particuliers (CVE-2017-5715, CVE-2017-5753 et CVE-2017-5754) 3 janvier 2018
TS102723 Mises à jour de McAfee Live Safe et McAfee Security Scan Plus qui corrigent des vulnérabilités de type intercepteur (man-in-the-middle) (CVE-2017-3897 et CVE-2017-3898) 31 août 2017
TS102714 Mise à jour de McAfee Security Scan Plus qui corrige une vulnérabilité potentielle de type intercepteur (man-in-the-middle) (CVE-2017-3897) 28 juillet 2017
TS102651 Mise à jour qui corrige une vulnérabilité potentielle de McAfee AntiVirus Plus, McAfee Internet Security et McAfee Total Protection (CVE-2017-4028) 29 mars 2017
TS102614 Correction d'une vulnérabilité potentielle de McAfee Security Scan Plus (CVE-2016-8026) 21 décembre 2016
TS102593 Mise à jour de Security Scan Plus qui corrige un chargement non sécurisé par McUICnt.exe (CVE-2016-8008) 14 novembre 2016
TS102570 Correction de « McOemCpy.exe » pour éviter le chargement d'un fichier DLL non authentifié 7 octobre 2016
TS102516 Mise à jour de McAfee Total Protection Suite qui corrige un débordement de mémoire tampon et une fuite de mémoire dans McAfee File Lock (CVE-2015-8772) 28 avril 2016
TS102462 Patch de sécurité pour plusieurs programmes d'installation et de désinstallation McAfee (CVE-2015-8991, CVE-2015-8992 et CVE-2015-8993) 3 décembre 2015
TS102504 Comment informer McAfee de vulnérabilités potentielles dans des produits pour particuliers ? Document de procédure

Si vous disposez d'informations au sujet d'une vulnérabilité ou d'un problème de sécurité concernant un produit McAfee, envoyez un e-mail à l'adresse PSIRT@McAfee.com. Chiffrez les informations sensibles en utilisant la clé publique PGP de McAfee.
Veuillez fournir le plus d'informations possible, notamment :

  • Données de contact du découvreur :
    • Nom (nom et prénom ou pseudonyme)
    • Adresse physique (au moins l'emplacement géographique général)
    • Affiliation / Entreprise
    • Adresse e-mail
    • Numéro de téléphone
  • Informations concernant les produits :
    • Versions matérielles et/ou produits affectés (numéro de build, s'il est connu)
    • Système d'exploitation (s'il est connu)
    • Configuration logicielle et/ou matérielle
  • Informations concernant la vulnérabilité :
    • Description détaillée de la vulnérabilité
    • Code d'échantillon utilisé pour créer / vérifier la vulnérabilité
    • Informations concernant les exploits connus
    • Identifiant CVE (si la vulnérabilité a déjà été enregistrée)
    • URL ou lien vers des informations supplémentaires permettant au département d'ingénierie d'analyser ou d'identifier l'origine du problème
  • Plans de communication :
    • Plans de divulgation (dates et lieu)
    • Permission d'être identifié en tant que découvreur dans le bulletin de sécurité

Un membre du McAfee Product Security Group (PSG) et/ou de l'équipe PSIRT (Product Security Incident Response Team) examinera votre e-mail et vous contactera pour coopérer à la résolution du problème.

Classification

Toutes les vulnérabilités concernant un produit sont traitées par le McAfee Product Security Group (PSG). Pour les autres problèmes, contactez l'une des équipes suivantes :

Les vulnérabilités concernant une application informatique ou web sont traitées par le centre SOC du département McAfee Global Security Services (GSS).

Vulnérabilité concernant une application informatique ou web
SOC McAfee
Adresse e-mail : abuse.report@mcafee.com
Téléphone : +1 972-987-2745

Les requêtes externes concernant les performances de produits en cours de commercialisation sont traitées par le support technique McAfee.

Problème concernant les performances d'un produit ou d'un logiciel, ou un abonnement
Support technique McAfee
Site web : http://www.mcafee.com/fr/support.aspx

Les échantillons de virus et de logiciels malveillants sont pris en charge par McAfee Labs.

Pour envoyer un échantillon de virus
McAfee Labs
Adresse e-mail : virus_research@mcafee.com
Site web : http://www.mcafee.com/enterprise/fr-fr/threat-center/how-to-submit-sample.html

Pour contacter l'équipe PSIRT McAfee
Adresse e-mail : PSIRT@McAfee.com
Téléphone : +1 408-753-5752

Déclarations de stratégies de l'équipe PSIRT

Solutions directement utilisables
McAfee n'annoncera pas publiquement l'existence d'une vulnérabilité concernant un produit ou un logiciel sans proposer de solution, de patch, de correctif (hotfix) ou de mise à jour logicielle directement utilisable. Sinon, nous ne ferions qu'informer la communauté cybercriminelle que nos produits constituent une cible de choix et nous rendrions nos clients vulnérables aux attaques. Pour les vulnérabilités fortement médiatisées, telles que HeartBleed, nous publierons une bannière signalant notre connaissance du problème et les mesures correctives à prendre.

Pas de favoritisme
Par souci d'équité, McAfee informe tous ses clients au même moment des vulnérabilités concernant un produit. Les grands comptes ne sont pas mis au courant plus tôt. Une annonce anticipée peut être autorisée par le McAfee Product Security Group (PSG) au cas par cas, moyennant la signature d'un accord de non-divulgation strict.

Découvreurs
McAfee reconnaît uniquement la contribution d'un découvreur de vulnérabilité externe lorsque celui-ci :

  • souhaite être identifié en tant que tel ;
  • n'a pas lancé d'attaque « jour zéro » à notre encontre ou n'a pas rendu publiques ses recherches avant la publication d'un bulletin de sécurité ou d'un article dans la base de connaissances.

Les organisations et les individus peuvent être identifiés en tant que découvreurs.

Affectation d'un score CVSS
Il convient d'utiliser la version la plus récente du système CVSS (Common Vulnerability Scoring System). La version 3 du système CVSS est actuellement utilisée.

Tous les bulletins de sécurité doivent mentionner les scores CVSS pour chaque vulnérabilité, de même que les vecteurs CVSS associés. Le score de base est obligatoire. Les scores environnementaux et temporels sont facultatifs. Idéalement, les scores de base doivent correspondre aux identifiants CVE attribués par le NIST.

Message du service SNS (Support Notification Service)
Un message, une notification ou une alerte du service SNS doit être émis pour tous les bulletins de sécurité. Il s'agit là d'un service sur lequel s'appuient les clients McAfee Enterprise Support, de même que d'autres clients.

Pour vous abonner aux messages texte du service SNS, accédez au Centre de requêtes SNS et inscrivez-vous.

Stratégie de réponse
La solution proposée et l'alerte lancée par McAfee dépendent du score de base CVSS le plus élevé.

Priorité (sécurité)Score CVSS version 2 Solution typique* SNS
P1 - Niveau critique 8.5-10.0 Niveau élevé Correctif (hotfix) Alerte
P2 - Niveau élevé 7.0-8.4 Niveau élevé Patch Notification
P3 - Niveau moyen 4.0-6.9 Niveau moyen Patch Notification
P4 - Niveau faible 0.0-3.9 Niveau faible Mise à jour logicielle Facultatif
P5 - Info 0.0 Ne sera pas corrigé. Information. S.O.

*Remarque : la solution proposée dépend de la gravité de la vulnérabilité, du cycle de vie du produit et de la viabilité d'une telle solution. La solution typique décrite ci-dessus ne constitue pas un engagement à produire un correctif (hotfix), un patch ou une mise à jour logicielle pour toutes les versions de produits prises en charge.


Mécanismes de communication externes
Le mécanisme de communication externe de McAfee dépend du score de base CVSS, du nombre de demandes de renseignements reçues des clients et de l'attention accordée par les médias.                                    

  • SB = Bulletin de sécurité (4-10)
  • KB = Article publié dans la base de connaissance (2-4)
  • SS = Déclaration de support (0-4)
  • NN = Non nécessaire (0)
 CVSS = 0
Gravité faible
0 < CVSS < 4
Gravité faible
4 ≤ CVSS < 7
Gravité moyenne
7 ≤ CVSS < 10
Gravité élevée
Divulgation externe (CVE) KB en cas de demandes de renseignements multiples, sinon NN KB SB, SNS SB, SNS
Divulgation par le client SS SS SB, SNS SB, SNS
Divulgation interne NN Document dans notes de publication SB (post-publication), document dans notes de publication SB
(post-publication), document dans notes de publication


Scénarios de crise
Pour les vulnérabilités de gravité élevée qui concernent plusieurs produits et sont connues du public, un bulletin de sécurité peut être publié avec un patch pour un produit, puis être mis à jour ultérieurement avec des patchs et descriptions supplémentaires pour les autres produits lorsqu'ils seront disponibles.

Les bulletins de sécurité portant sur plusieurs produits vulnérables établiront la liste de tous les produits, entreprises et clients concernés dans les catégories suivantes :

  • Vulnérable et mis à jour
  • Vulnérable et pas encore mis à jour
  • Vulnérable avec un risque mineur (étant donné les meilleures pratiques en matière de déploiements standard)
  • Non vulnérable
  • En cours d'investigation (facultatif)

Les bulletins de sécurité ne sont généralement pas publiés les vendredis après-midi, sauf en cas de crise.

Scores de vulnérabilité et scores de risque
McAfee participe au système d'évaluation de la criticité des vulnérabilités CVSS, mis en place par le secteur de la sécurité informatique. Les scores CVSS doivent être considérés comme un point de départ pour déterminer le risque que représente une vulnérabilité particulière pour les clients McAfee. Il ne s'agit pas d'une évaluation des risques complète de la gravité des vulnérabilités pouvant apparaître dans les produits McAfee ou les environnements d'exécution associés sur lesquels les produits McAfee sont exécutés.

En complément du score CVSS, McAfee utilise le système JGERR (Just Good Enough Risk Rating) pour évaluer le risque posé par les problèmes potentiels susceptibles d'affecter les produits McAfee. Le système JGERR a été adopté en tant que SANS Institute Smart Guide (Guide intelligent du Sans Institute) en 2012. Il repose sur la norme FAIR (Factor Analysis of Information Risk), établie par le consortium Open Group. Lorsque le risque est évalué à l'aide du système JGERR, de nombreux facteurs supplémentaires sont intégrés dans l'analyse des risques, tels que la présence et l'activité d'agents de menace, les vecteurs d'attaque, l'exposition d'une vulnérabilité aux agents de menace, le degré de difficulté d'exploitation de la vulnérabilité et l'impact d'une exploitation. La vulnérabilité en tant que telle n'est qu'un des aspects de l'évaluation des risques McAfee.

Le score CVSS de base détermine notre réponse initiale à un incident donné. L'évaluation des risques McAfee détermine le délai de distribution d'un patch ou d'une mise à jour.

Les Bulletins de sécurité peuvent contenir des listes de produits accompagnés des désignations suivantes : Vulnérable, Non vulnérable, Vulnérable mais non exploitable, Vulnérable avec un risque mineur. La liste ci-dessous donne la signification de chacune de ces catégories en termes d'impact potentiel pour les clients :

  • Vulnérable : Le produit contient la vulnérabilité attestée. La vulnérabilité pose un certain risque pour les clients. Le score CVSS associé peut être utilisé comme indication de la gravité de l'impact en cas d'exploitation de la vulnérabilité dans des scénarios de déploiement standard.
  • Non vulnérable : Le produit ne contient pas la vulnérabilité ou la présence d'un composant vulnérable ne peut être exploitée d'aucune façon. L'utilisation du produit ne présente aucun risque supplémentaire pour les clients.
  • Vulnérable mais non exploitable : Le produit contient la vulnérabilité, par exemple sous forme de bibliothèque incluse ou d'exécutable dans l'image logicielle. Cependant, le produit intègre des contrôles de sécurité tels que la vulnérabilité n'est pas exposée aux agents de menace et qu'une exploitation de la vulnérabilité est extrêmement difficile, voire impossible. L'utilisation du produit ne présente aucun risque supplémentaire pour les clients.
  • Vulnérable avec un risque mineur : Le produit contient la vulnérabilité, par exemple sous forme de bibliothèque incluse ou d'exécutable dans l'image logicielle, mais l'impact d'une exploitation est négligeable et ne présente aucun intérêt pour les attaquants. L'utilisation du produit n'est susceptible de présenter qu'un risque supplémentaire négligeable pour les clients qui utilisent le produit dans les scénarios de déploiement standard et recommandés.