Vous avez découvert une faille de sécurité ?

Parlez-nous en

Vulnérabilités trouvées sur les sites web ESET listés

Notre partenariat avec HackTrophy nous aide à garder une longueur d'avance sur toute menace potentielle. Faites-nous part de tout problème de sécurité sur nos sites Web. Les rapports confirmés sur les sites Web énumérés ci-dessous sont compensés par des récompenses financières.

* Le site Web mondial d'ESET comprend les sous-services go.eset.com, cookie.eset.com, search.eset.com et api.eset.com

Vulnérabilités trouvées dans les produits ESET ou les sites web ESET

Si vous pensez avoir trouvé une vulnérabilité dans un produit ESET ou une application web qui n'est pas définie dans le cadre de HackTrophy, veuillez nous en informer de manière confidentielle à l'adresse suivante security@eset.com.

Si vous pensez avoir trouvé une vulnérabilité dans un produit ESET ou une application web, veuillez nous en informer confidentiellement.

Avant de soumettre le rapport, veuillez lire la section Politique en matière de rapports et Hors champ. Chaque rapport reçoit une première mise à jour dans les trois jours ouvrables (8x5 CET) via security@eset.com. Une réponse automatique est envoyée lorsque le rapport est créé avec succès dans le système et que l'on attend le retour d'information du spécialiste de la sécurité. Notre objectif est de fournir un correctif pour les vulnérabilités confirmées dans les 90 jours. Les rapports confirmés et corrigés sont récompensés par un sac à surprises.

Veuillez noter que nous n'ouvrirons pas d'enquête policière ni n'engagerons de poursuites contre vous pour le contenu du rapport.

Informations sensibles et personnelles

Ne tentez jamais d'accéder à des informations personnelles ou à des données sensibles. Si vous obtenez des informations sensibles ou personnelles au cours de votre recherche de sécurité, suivez les étapes suivantes :

- STOP vos recherches ou actions qui comprennent des données ou des informations personnelles immédiatement

- NE PAS sauvegarder, copier, divulguer, transférer ou faire toute activité liée aux données ou aux informations personnelles

- ALERTE nous immédiatement et nous soutenir dans l'effort d'atténuation.

Vulnérabilités hors du champ d'application

Applications web

  • Rapports d'outils ou de scans automatisés
  • Attaques par déni de service
  • L'homme au milieu attaque
  • Attaques nécessitant un accès physique à l'appareil de l'utilisateur
  • Questions hypothétiques qui n'ont pas d'impact pratique
  • Panneaux de connexion accessibles au public sans preuve d'exploitation
  • Résultats provenant principalement de l'ingénierie sociale (par exemple, phishing, vishing, smishing) et d'autres attaques non techniques.
  • Problèmes de gravité informative et de faible gravité
  • Spamming
  • Le clickjacking et les problèmes uniquement exploitables par le clickjacking.
  • Prise d'empreintes digitales / divulgation de bannières sur les services communs/publics.
  • Problèmes de configuration du courrier (paramètres SPF, DKIM, DMARC)
  • Messages d'erreur descriptifs (par exemple, traces de pile, erreurs d'application ou de serveur).
  • codes/pages HTTP 404 ou autres codes/pages HTTP non-200.
  • Divulgation de fichiers ou de répertoires publics ou non sensibles connus (par exemple, robots.txt, crossdomain.xml ou tout autre fichier de stratégie, présence ou mauvaise configuration de caractères génériques dans ces fichiers).
  • Méthode HTTP non standard activée
  • En-têtes de sécurité manquants (tels que Strict-Transport-Security, X-Frame-Options, X-XSS-Protection, X-Content-Type-Options)
  • Absence de drapeaux Secure/HTTP Only/SameSite sur les cookies non sensibles.
  • Redirection ouverte qui ne peut être utilisée pour exfiltrer des informations sensibles (cookies de session, jetons OAuth).
  • Problèmes de gestion de plusieurs sessions actives simultanées
  • Attaques par injection d'en-tête d'hôte
  • Self-XSS et problèmes exploitables uniquement par Self-XS
  • CSRF sur les formulaires accessibles aux utilisateurs anonymes (par exemple, le formulaire de contact).
  • CSRF sur la déconnexion
  • Présence d'une application ou d'une fonctionnalité de "remplissage automatique" ou de "sauvegarde du mot de passe" du navigateur web.
  • La page du mot de passe oublié a été forcée et le verrouillage des comptes n'est pas appliqué.
  • Enumération des noms d'utilisateur et des adresses électroniques sans autre impact.
  • Questions relatives à la limitation du débit
  • Captcha faible / Contournement du Captcha
  • Utilisation d'une bibliothèque connue pour être vulnérable sans description d'un exploit spécifique à notre mise en œuvre.
  • Problèmes liés à SSL (exemple : chiffrement faible ou non sécurisé, BEAST, BREACH, attaque par renégociation, etc.)

Vulnérabilité des produits

  • Questions qui peuvent être couvertes par l'ajout d'une signature de détection
  • Injection de DLL
  • Détournement de DLL
  • Pas de SSL dans les serveurs de mise à jour/téléchargement
  • Contournement du moteur AV local
  • Tapjacking
  • Vulnérabilités connues dans les composants tiers

Politique en matière de rapports

  • Contactez-nous via security@eset.com
  • Les rapports et tous les documents connexes sont chiffrés par PGP public key
    • Indiquez votre organisation et le nom de votre contact

      • Rédiger une description claire de la vulnérabilité potentielle

  • Ajouter toutes les informations nécessaires pour valider la vulnérabilité potentielle
  • Inclure la version du produit et du module ESET (voir KB product et KB module pour déterminer le numéro de version) dans les rapports relatifs au produit
  • Les rapports relatifs aux produits doivent contenir un fichier journal de ESET SysInspector si applicable
  • Preuve du concept – veuillez fournir une description aussi détaillée que possible, y compris des captures d'écran ou des vidéos (marquées comme privées lorsqu'elles sont téléchargées sur des services de streaming).
  • Les suggestions d'atténuation sont très appréciées
  • Incluez l'impact de la vulnérabilité potentielle que vous pensez qu'elle a sur les utilisateurs, les employés d'ESET ou autres.
  • Nous demandons au journaliste de garder confidentielle toute communication concernant la vulnérabilité.
  • Informez-vous de tout projet de divulgation et coordonnez-vous avec nous
  • Doit être rédigé en langue anglaise

Veuillez noter que le rapport peut être rejeté lorsque :

  • correspondent aux critères de la section "Hors champ".
  • ne pas suivre notre politique de rapport
  • est dupliqué, seul le rapport original du premier reporter est pris en compte

Le rapporteur sera informé de toute mise à jour dans le processus de correction/atténuation.

ESET est un fervent partisan, ainsi qu'un praticien, du processus de divulgation responsable et reconnaît publiquement les efforts des rapporteurs de vulnérabilité de sécurité s'ils ne souhaitent pas rester anonymes.

MERCI.