Bulletins de sécurité des produits

 

Découvrez nos pratiques en matière de sécurité des produits logiciels

Télécharger maintenant

McAfee a pour mission d'assurer la sécurité des ordinateurs, des réseaux, des équipements et des données de ses clients. Nous remédions aux problèmes dès qu'ils surviennent et avançons des recommandations par le biais de bulletins de sécurité et d'articles publiés dans notre base de connaissances.

Envoyer un échantillon de virus Contacter le support technique Contacter l'équipe PSIRT
McAfee est conscient de l'existence de l'attaque DoubleAgent susceptible d'affecter tous les programmes Windows.

Les produits McAfee disposent de mécanismes d'autoprotection qui contribuent à bloquer ce type d'attaques. De plus, des analyses sont en cours pour déterminer si des fonctionnalités de protection supplémentaires doivent être ajoutées.

Pour plus d'informations, consultez ce blog, le bulletin de sécurité SB10192 et l'article KB88085 de la base de connaissances.
Bulletins de sécurité

Si vous disposez d'informations au sujet d'une vulnérabilité ou d'un problème de sécurité concernant un produit McAfee/Intel Security, envoyez un e-mail à l'adresse secure@intel.com et mettez en copie l'adresse PSIRT@IntelSecurity.com. Chiffrez les informations sensibles en utilisant la clé publique PGP d'Intel.
Veuillez fournir le plus d'informations possible, notamment :

  • Données de contact du découvreur :
    • Nom (nom et prénom ou pseudonyme)
    • Adresse physique (indiquer l'emplacement géographique général plutôt que l'adresse complète)
    • Affiliation / Entreprise
    • Adresse e-mail
    • Numéro de téléphone
  • Informations concernant les produits :
    • Versions matérielles et/ou produits affectés (numéro de build, s'il est connu)
    • Système d'exploitation (s'il est connu)
    • Configuration logicielle et/ou matérielle
  • Informations concernant la vulnérabilité :
    • Description détaillée de la vulnérabilité
    • Code d'échantillon utilisé pour créer / vérifier la vulnérabilité
    • Informations concernant les exploits connus
    • Identifiant CVE (si la vulnérabilité a déjà été enregistrée)
    • URL ou lien vers des informations supplémentaires permettant au département d'ingénierie d'analyser ou d'identifier l'origine du problème
  • Plans de communication :
    • Plans de divulgation
    • Permission d'être identifié en tant que découvreur dans le bulletin de sécurité

Un membre du McAfee Product Security Group (PSG) et/ou de l'équipe PSIRT (Product Security Incident Response Team) examinera votre e-mail et vous contactera pour coopérer à la résolution du problème.

Triage

Les vulnérabilités concernant un produit signalées par des personnes externes sont traitées par le McAfee Product Security Group (PSG). Pour les autres problèmes, contactez l'une des équipes suivantes :

Les vulnérabilités concernant une application informatique ou web signalées par des personnes externes sont traitées par le centre SOC du département McAfee Global Security Services (GSS).

Vulnérabilité concernant une application informatique ou web
McAfee Security Operations Center (SOC)
E-mail : abuse.report@mcafee.com
Téléphone : +1 972 987 2745

Les requêtes externes concernant les performances de produits en cours de commercialisation sont traitées par le support technique McAfee.

Problème concernant les performances d'un produit ou d'un logiciel, ou un abonnement
Support technique McAfee
Site web : http://www.mcafee.com/fr/support.aspx

Les échantillons de virus et de logiciels malveillants sont pris en charge par McAfee Labs.

Envoyer un échantillon de virus
McAfee Labs
E-mail : virus_research@mcafee.com
Site web : http://www.mcafee.com/fr/threat-center/resources/how-to-submit-sample.aspx

Contacter l'équipe PSIRT d'Intel Security/McAfee
E-mail : secure@intel.com
Téléphone : +1 408 753 5752

Contacter l'équipe PSIRT d'Intel
Intel Product Security Center
E-mail : secure@intel.com
Site web : https://security-center.intel.com

Déclarations de stratégies de l'équipe PSIRT

Des solutions directement exploitables
Intel Security n'annoncera pas publiquement l'existence d'une vulnérabilité concernant un produit ou un logiciel sans proposer de solution, de patch, de correctif (hotfix) ou de mise à jour logicielle directement utilisable. Sinon, nous ne ferions qu'informer la communauté cybercriminelle que nos produits constituent une cible de choix et nous rendrions nos clients vulnérables aux attaques.

Pas de favoritisme
Intel Security informe tous ses clients au même moment des vulnérabilités concernant un produit. Les grands comptes ne sont pas mis au courant plus tôt. Une annonce anticipée peut être autorisée par le McAfee Product Security Group (PSG) au cas par cas, moyennant la signature d'un accord de non-divulgation strict.

Découvreurs
Intel Security reconnaît uniquement la contribution d'un découvreur de vulnérabilité externe lorsque celui-ci :

  • souhaite être identifié en tant que tel ;
  • n'a pas lancé d'attaque de type « jour zéro » à notre encontre ou n'a pas rendu publiques ses recherches avant la publication d'un bulletin de sécurité ou d'un article dans la base de connaissance (KnowledgeBase).

Les organisations et les individus peuvent être identifiés en tant que découvreurs.

Affectation d'un score CVSS
Il convient d'utiliser la version la plus récente du système CVSS (Common Vulnerability Scoring System ou système d'évaluation standardisé de la criticité des vulnérabilités). La version 3 du système CVSS est actuellement utilisée.

Tous les bulletins de sécurité doivent mentionner les scores CVSS pour chaque vulnérabilité, de même que les vecteurs CVSS associés. Les scores de base et temporels doivent être indiqués. Les scores de base doivent correspondre aux identifiants CVE attribués par le NIST. 

Message du service SNS (Support Notification Service)
Un message, une notification ou une alerte du service SNS doit être émis pour tous les bulletins de sécurité. Il s'agit là d'un service sur lequel s'appuient les clients Intel Security Enterprise Support, de même que d'autres clients.

Pour vous abonner aux messages texte du service SNS, accédez au Centre de requêtes SNS et choisissez l'option permettant de créer un nouveau compte.

Stratégie de réponse
La solution proposée et l'alerte lancée par Intel Security dépendent du score de base CVSS le plus élevé.

Priorité (sécurité)Score CVSS version 2Solution typiqueSNS
P1 - Niveau critique 8.5-10.0 Niveau élevé Correctif (hotfix) Alerte
P2 - Niveau élevé 7.0-8.4 Niveau élevé Patch Notification
P3 - Niveau moyen 4.0-6.9 Niveau moyen Patch Notification
P4 - Niveau faible 0.0-3.9 Niveau faible Mise à jour logicielle Facultatif
P5 - Info 0.0 Ne sera pas corrigé. Information. S.O.


Mécanismes de communication externe
Le mécanisme de communication externe d'Intel Security dépend du score de base CVSS, du nombre de demandes de renseignements de clients et de l'attention accordée par les médias.                                    

  • SB = Bulletin de sécurité (4-10)
  • KB = Article publié dans la base de connaissance (KnowledgeBase) (2-4)
  • SS = Déclaration de support (0-4)
  • NN = Non nécessaire (0)
 CVSS = 0
Niveau faible
0 < CVSS < 4
Niveau faible
4 ≤ CVSS < 7
Niveau moyen
7 ≤ CVSS ≤ 10
Niveau élevé
Divulgation externe (CVE) KB en cas de demandes de renseignements multiples, sinon NN KB SB, SNS SB, SNS
Divulgation par le client SS SS SB, SNS SB, SNS
Divulgation interne NN NN Document dans notes de publication SB
(post-publication)


Scénarios de crise
Pour les vulnérabilités de gravité élevée qui concernent plusieurs produits et sont connues du public, un bulletin de sécurité peut être publié avec un patch pour un produit, puis être mis à jour ultérieurement avec des patchs et des descriptions supplémentaires pour les autres produits lorsqu'ils seront disponibles.

Les bulletins de sécurité portant sur plusieurs produits vulnérables établiront la liste de tous les produits, entreprises et clients concernés dans les catégories suivantes :

  • Vulnérable et mis à jour
  • Vulnérable et pas encore mis à jour
  • Vulnérable avec un risque mineur (étant donné les meilleures pratiques en matière de déploiements standard)
  • Non vulnérable
  • En cours d'investigation (facultatif)

Les bulletins de sécurité ne sont généralement pas publiés les vendredis après-midis, sauf en cas de crise.

Scores de vulnérabilité et scores de risque
Intel Security participe au système d'évaluation de la criticité des vulnérabilités CVSS, mis en place par le secteur de la sécurité informatique. Les scores CVSS doivent être considérés comme un point de départ pour déterminer le risque posé par une vulnérabilité particulière aux clients Intel Security. Il ne s'agit pas d'une évaluation des risques complète de la gravité des vulnérabilités pouvant apparaître dans les produits Intel Security/McAfee, ou les environnements d'exécution associés sur lesquels les produits Intel Security sont exécutés.

En complément du score CVSS, Intel Security utilise le système JGERR (Just Good Enough Risk Rating) pour évaluer le risque posé par les problèmes potentiels susceptibles d'affecter les produits Intel Security. Le système JGERR a été adopté en tant que SANS Institute Smart Guide (Guide intelligent du Sans Institute) en 2012. Il repose sur la norme FAIR (Factor Analysis of Information Risk), une norme établie par le consortium Open Group. Lorsque le risque est évalué à l'aide du système JGERR, de nombreux facteurs supplémentaires sont intégrés dans l'analyse des risques, tels que la présence et l'activité d'agents de menace, les vecteurs d'attaque, l'exposition d'une vulnérabilité aux agents de menace, le degré de difficulté d'exploitation de la vulnérabilité et l'impact d'une exploitation. La vulnérabilité en tant que telle n'est qu'un des aspects de l'évaluation des risques Intel Security.

Le score CVSS de base détermine notre réponse initiale à un incident donné. L'évaluation des risques Intel Security détermine le délai de distribution d'un correctif ou d'une mise à jour.

Les Bulletins de sécurité peuvent contenir des listes de produits accompagnés des désignations suivantes : Vulnérable, Non vulnérable, Vulnérable mais non exploitable, Vulnérable avec un risque mineur. La liste ci-dessous donne la signification de chacune de ces catégories en termes d'impact potentiel pour les clients :

  • Vulnérable : Le produit contient la vulnérabilité. La vulnérabilité pose un certain risque pour les clients. Le score CVSS associé peut être utilisé comme indication de la gravité de l'impact en cas d'exploitation de la vulnérabilité dans des scénarios de déploiement standard.
  • Non vulnérable : Le produit ne contient pas la vulnérabilité ou la présence d'un composant vulnérable ne peut être exploitée d'aucune façon. L'utilisation du produit ne présente aucun risque supplémentaire pour les clients.
  • Vulnérable mais non exploitable : Le produit contient la vulnérabilité, par exemple sous forme de bibliothèque incluse ou d'exécutable dans l'image logicielle, mais le produit intègre des contrôles de sécurité tels que la vulnérabilité n'est pas exposée aux agents de menace et qu'une exploitation de la vulnérabilité est extrêmement difficile, voire impossible. L'utilisation du produit ne présente aucun risque supplémentaire pour les clients.
  • Vulnérable avec un risque mineur : Le produit contient la vulnérabilité, par exemple sous forme de bibliothèque incluse ou d'exécutable dans l'image logicielle, mais l'impact d'une exploitation est négligeable et ne présente aucun intérêt pour les attaquants. L'utilisation du produit n'est susceptible de présenter qu'un risque supplémentaire négligeable pour les clients qui utilisent le produit dans les scénarios de déploiement standard et recommandés.