Vous avez découvert une faille de sécurité ?

Parlez-nous en

Vulnérabilités trouvées sur les sites web ESET listés

Notre partenariat avec HackTrophy nous aide à garder une longueur d'avance sur toute menace potentielle. Faites-nous part de tout problème de sécurité sur nos sites Web. Les rapports confirmés sur les sites Web énumérés ci-dessous sont compensés par des récompenses financières.

* Le site Web mondial d'ESET comprend les sous-services go.eset.com, cookie.eset.com, search.eset.com et api.eset.com

Vulnérabilités trouvées dans les produits ESET ou les sites web ESET

Si vous pensez avoir trouvé une vulnérabilité dans un produit ESET ou une application web qui n'est pas définie dans le cadre de HackTrophy, veuillez nous en informer de manière confidentielle à l'adresse suivante security@eset.com.

Si vous pensez avoir trouvé une vulnérabilité dans un produit ESET ou une application web, veuillez nous en informer confidentiellement.

Envoyez-nous un message

Avant de soumettre le rapport, veuillez lire la section Politique en matière de rapports et Hors champ. Chaque rapport reçoit une première mise à jour dans les trois jours ouvrables (8x5 CET) via security@eset.com. Une réponse automatique est envoyée lorsque le rapport est créé avec succès dans le système et que l'on attend le retour d'information du spécialiste de la sécurité. Notre objectif est de fournir un correctif pour les vulnérabilités confirmées dans les 90 jours. Les rapports confirmés et corrigés sont récompensés par un sac à surprises.

Veuillez noter que nous n'ouvrirons pas d'enquête policière ni n'engagerons de poursuites contre vous pour le contenu du rapport.

Informations sensibles et personnelles

Ne tentez jamais d'accéder à des informations personnelles ou à des données sensibles. Si vous obtenez des informations sensibles ou personnelles au cours de votre recherche de sécurité, suivez les étapes suivantes :

- STOP vos recherches ou actions qui comprennent des données ou des informations personnelles immédiatement

- NE PAS sauvegarder, copier, divulguer, transférer ou faire toute activité liée aux données ou aux informations personnelles

- ALERTE nous immédiatement et nous soutenir dans l'effort d'atténuation.

Vulnérabilités hors du champ d'application

Rapports d'outils ou de scans automatisés
Attaques par déni de service
L'homme au milieu attaque
Attaques nécessitant un accès physique à l'appareil de l'utilisateur
Questions hypothétiques qui n'ont pas d'impact pratique
Panneaux de connexion accessibles au public sans preuve d'exploitation
Résultats provenant principalement de l'ingénierie sociale (par exemple, phishing, vishing, smishing) et d'autres attaques non techniques.
Problèmes de gravité informative et de faible gravité
Spamming
Le clickjacking et les problèmes uniquement exploitables par le clickjacking.
Prise d'empreintes digitales / divulgation de bannières sur les services communs/publics.
Problèmes de configuration du courrier (paramètres SPF, DKIM, DMARC)
Messages d'erreur descriptifs (par exemple, traces de pile, erreurs d'application ou de serveur).
codes/pages HTTP 404 ou autres codes/pages HTTP non-200.
Divulgation de fichiers ou de répertoires publics ou non sensibles connus (par exemple, robots.txt, crossdomain.xml ou tout autre fichier de stratégie, présence ou mauvaise configuration de caractères génériques dans ces fichiers).
Méthode HTTP non standard activée
En-têtes de sécurité manquants (tels que Strict-Transport-Security, X-Frame-Options, X-XSS-Protection, X-Content-Type-Options)
Absence de drapeaux Secure/HTTP Only/SameSite sur les cookies non sensibles.
Redirection ouverte qui ne peut être utilisée pour exfiltrer des informations sensibles (cookies de session, jetons OAuth).
Problèmes de gestion de plusieurs sessions actives simultanées
Attaques par injection d'en-tête d'hôte
Self-XSS et problèmes exploitables uniquement par Self-XS
CSRF sur les formulaires accessibles aux utilisateurs anonymes (par exemple, le formulaire de contact).
CSRF sur la déconnexion
Présence d'une application ou d'une fonctionnalité de "remplissage automatique" ou de "sauvegarde du mot de passe" du navigateur web.
La page du mot de passe oublié a été forcée et le verrouillage des comptes n'est pas appliqué.
Enumération des noms d'utilisateur et des adresses électroniques sans autre impact.
Questions relatives à la limitation du débit
Captcha faible / Contournement du Captcha
Utilisation d'une bibliothèque connue pour être vulnérable sans description d'un exploit spécifique à notre mise en œuvre.
Problèmes liés à SSL (exemple : chiffrement faible ou non sécurisé, BEAST, BREACH, attaque par renégociation, etc.)

Politique en matière de rapports

Contactez-nous via security@eset.com
Les rapports et tous les documents connexes sont chiffrés par PGP public key
- Indiquez votre organisation et le nom de votre contact
  - Rédiger une description claire de la vulnérabilité potentielle
Ajouter toutes les informations nécessaires pour valider la vulnérabilité potentielle
Inclure la version du produit et du module ESET (voir KB product et KB module pour déterminer le numéro de version) dans les rapports relatifs au produit
Les rapports relatifs aux produits doivent contenir un fichier journal de ESET SysInspector si applicable
Preuve du concept – veuillez fournir une description aussi détaillée que possible, y compris des captures d'écran ou des vidéos (marquées comme privées lorsqu'elles sont téléchargées sur des services de streaming).
Les suggestions d'atténuation sont très appréciées
Incluez l'impact de la vulnérabilité potentielle que vous pensez qu'elle a sur les utilisateurs, les employés d'ESET ou autres.
Nous demandons au journaliste de garder confidentielle toute communication concernant la vulnérabilité.
Informez-vous de tout projet de divulgation et coordonnez-vous avec nous
Doit être rédigé en langue anglaise

Veuillez noter que le rapport peut être rejeté lorsque :

correspondent aux critères de la section "Hors champ".
ne pas suivre notre politique de rapport
est dupliqué, seul le rapport original du premier reporter est pris en compte

Le rapporteur sera informé de toute mise à jour dans le processus de correction/atténuation.

ESET est un fervent partisan, ainsi qu'un praticien, du processus de divulgation responsable et reconnaît publiquement les efforts des rapporteurs de vulnérabilité de sécurité s'ils ne souhaitent pas rester anonymes.

Parlez-nous en

* Le site Web mondial d'ESET comprend les sous-services go.eset.com, cookie.eset.com, search.eset.com et api.eset.com

Veuillez noter que nous n'ouvrirons pas d'enquête policière ni n'engagerons de poursuites contre vous pour le contenu du rapport.

Applications web

Vulnérabilité des produits

ESET est un fervent partisan, ainsi qu'un praticien, du processus de divulgation responsable et reconnaît publiquement les efforts des rapporteurs de vulnérabilité de sécurité s'ils ne souhaitent pas rester anonymes.

MERCI.

HOME Sécurité

PROFITER DE CE QUI COMPTE, LAISSER LE RESTE À L'ESET

Service recommandé

Solutions recommandées

Service recommandé

Service recommandé

Vous êtes déjà partenaire d'ESET ?Bienvenue !

Pour les ventes aux entreprises, appelez :

Plus d'options de contact

Informations et ressources supplémentaires

Industries

Télécharger pourDomicile et PME

Pour lesprofessionnels

Vous êtes déjà partenaire d&ESET ?Bienvenue !

For home

For business

Partnership

Support

About ESET

PROFITER DE CE QUI COMPTE,
LAISSER LE RESTE À L'ESET

Vous êtes déjà partenaire d'ESET ?
Bienvenue !

Télécharger pour
Domicile et PME

Pour les
professionnels

Vous êtes déjà partenaire d&ESET ?
Bienvenue !