Vous avez découvert une faille de sécurité ?

Parlez-nous en

Vulnérabilités trouvées dans les produits ESET ou les sites Web d'ESET

Si vous pensez avoir trouvé une vulnérabilité dans un produit ESET ou une application web, veuillez nous en informer de manière confidentielle via security@eset.com.

Envoyez-nous un message
Avant de soumettre un rapport, veuillez lire la politique de rapport et la section "Hors du champ d'application". Une réponse automatique est envoyée lorsque le rapport a été traité avec succès par notre système et qu'il attend d'être examiné par un spécialiste de la sécurité. Dans un délai de trois jours ouvrables, un spécialiste de la sécurité enverra au déclarant un retour d'information par l'intermédiaire de l'adresse suivante security@eset.com. Notre objectif est de fournir un correctif pour les vulnérabilités confirmées dans les 90 jours calendaires suivant leur divulgation. Les rapports sur les vulnérabilités confirmées et corrigées sont récompensés par un sac de cadeaux.
Lors de l'évaluation de la vulnérabilité, utilisez la dernière version de CVSS -
nous donnerons la priorité à notre réponse sur la base de ce score CVSS ou de cette chaîne de vecteurs.
En tant qu'ANC pour les vulnérabilités applicables à ses produits, ESET réservera automatiquement un identifiant CVE.

Veuillez noter que nous n'ouvrirons pas d'enquête policière ni n'engagerons de poursuites contre vous pour le contenu du rapport.

Informations sensibles et personnelles

Ne tentez jamais d'accéder à des informations personnelles ou à des données sensibles. Si vous obtenez des informations sensibles ou personnelles au cours de votre recherche de sécurité, suivez les étapes suivantes :

- STOP vos recherches ou actions qui comprennent des données ou des informations personnelles immédiatement

- NE PAS sauvegarder, copier, divulguer, transférer ou faire toute activité liée aux données ou aux informations personnelles

- ALERTE nous immédiatement et nous soutenir dans l'effort d'atténuation.

Vulnérabilités hors du champ d'application

Applications web

  • Rapports d'outils ou de scans automatisés
  • Attaques par déni de service
  • L'homme au milieu attaque
  • Attaques nécessitant un accès physique à l'appareil de l'utilisateur
  • Questions hypothétiques qui n'ont pas d'impact pratique
  • Panneaux de connexion accessibles au public sans preuve d'exploitation
  • Résultats provenant principalement de l'ingénierie sociale (par exemple, phishing, vishing, smishing) et d'autres attaques non techniques.
  • Problèmes de gravité informative et de faible gravité
  • Spamming
  • Le clickjacking et les problèmes uniquement exploitables par le clickjacking.
  • Prise d'empreintes digitales / divulgation de bannières sur les services communs/publics.
  • Problèmes de configuration du courrier (paramètres SPF, DKIM, DMARC)
  • Messages d'erreur descriptifs (par exemple, traces de pile, erreurs d'application ou de serveur).
  • codes/pages HTTP 404 ou autres codes/pages HTTP non-200.
  • Divulgation de fichiers ou de répertoires publics ou non sensibles connus (par exemple, robots.txt, crossdomain.xml ou tout autre fichier de stratégie, présence ou mauvaise configuration de caractères génériques dans ces fichiers).
  • Méthode HTTP non standard activée
  • En-têtes de sécurité manquants (tels que Strict-Transport-Security, X-Frame-Options, X-XSS-Protection, X-Content-Type-Options)
  • Absence de drapeaux Secure/HTTP Only/SameSite sur les cookies non sensibles.
  • Redirection ouverte qui ne peut être utilisée pour exfiltrer des informations sensibles (cookies de session, jetons OAuth).
  • Problèmes de gestion de plusieurs sessions actives simultanées
  • Attaques par injection d'en-tête d'hôte
  • Self-XSS et problèmes exploitables uniquement par Self-XS
  • CSRF sur les formulaires accessibles aux utilisateurs anonymes (par exemple, le formulaire de contact).
  • CSRF sur la déconnexion
  • Présence d'une application ou d'une fonctionnalité de "remplissage automatique" ou de "sauvegarde du mot de passe" du navigateur web.
  • La page du mot de passe oublié a été forcée et le verrouillage des comptes n'est pas appliqué.
  • Enumération des noms d'utilisateur et des adresses électroniques sans autre impact.
  • Questions relatives à la limitation du débit
  • Captcha faible / Contournement du Captcha
  • Utilisation d'une bibliothèque connue pour être vulnérable sans description d'un exploit spécifique à notre mise en œuvre.
  • Problèmes liés à SSL (exemple : chiffrement faible ou non sécurisé, BEAST, BREACH, attaque par renégociation, etc.)

Vulnérabilité des produits

  • Questions qui peuvent être couvertes par l'ajout d'une signature de détection
  • Injection de DLL
  • Détournement de DLL
  • Pas de SSL dans les serveurs de mise à jour/téléchargement
  • Contournement du moteur AV local
  • Tapjacking
  • Vulnérabilités connues dans les composants tiers

Politique en matière de rapports

  • Contactez-nous via security@eset.com
  • Les rapports et tous les documents connexes sont chiffrés par PGP public key
    • Indiquez votre organisation et le nom de votre contact
      • Rédiger une description claire de la vulnérabilité potentielle
  • Ajouter toutes les informations nécessaires pour valider la vulnérabilité potentielle
  • Inclure la version du produit et du module ESET (voir KB product et KB module pour déterminer le numéro de version) dans les rapports relatifs au produit
  • Les rapports relatifs aux produits doivent contenir un fichier journal de ESET SysInspector si applicable
  • Preuve du concept – veuillez fournir une description aussi détaillée que possible, y compris des captures d'écran ou des vidéos (marquées comme privées lorsqu'elles sont téléchargées sur des services de streaming).
  • Les suggestions d'atténuation sont très appréciées
  • Incluez l'impact de la vulnérabilité potentielle que vous pensez qu'elle a sur les utilisateurs, les employés d'ESET ou autres.
  • Nous demandons au journaliste de garder confidentielle toute communication concernant la vulnérabilité.
  • Informez-vous de tout projet de divulgation et coordonnez-vous avec nous
  • Doit être rédigé en langue anglaise

Veuillez noter que le rapport peut être rejeté lorsque :

  • correspondent aux critères de la section "Hors champ".
  • ne pas suivre notre politique de rapport
  • est dupliqué, seul le rapport original du premier reporter est pris en compte

Le rapporteur sera informé de toute mise à jour dans le processus de correction/atténuation.

ESET est un fervent partisan, ainsi qu'un praticien, du processus de divulgation responsable et reconnaît publiquement les efforts des rapporteurs de vulnérabilité de sécurité s'ils ne souhaitent pas rester anonymes.

MERCI.