McAfee.com serait remplis de vulnérabilités

0
61

Découvrir que votre site est plein à craquer de failles de sécurité doit être gênant pour n’importe quelle entreprise, mais il est certainement encore plus mal vu lorsque vous êtes une entreprise qui offre de la sécurité à vos clients. Selon l’e-mail envoyé par le Groupe YGN Ethical Hacker lundi, c’est exactement ce qui s’est passé à McAfee.

Le groupe a découvert une vulnérabilité de type Cross-Site Scripting(XSS) et un certain nombre de trous de moyens de divulgation d’informations sur mcafee.com et download.mcafee.com. Ils ont notifié McAfee le 10 février, et la société a répondu qu’ils travaillaient à résoudre le problème aussi rapidement que possible

Avance rapide d’un mois et demi, et un message des pirates a révélé que les vulnérabilités ont été corrigées en partie seulement. Donc, ils ont décidé de rendre l’affaire publique sur Full Disclosure.

Prenant en considération le fait que McAfee offre le service McAfee Secure à d’autres entreprises, et les analyses soi-disant quotidienne des vulnérabilités, des liens malveillants, et du phishing, cette information ne donne pas une belle image de l’engagement de l’entreprise à la sécurité.

“Il s’agit d’un grave manque de rigueur avec les clients et les revendeurs qui ne doit pas passer inaperçu”, a commenté un chercheur en sécurité brésilien dans un blog.

Ce n’est pas la première fois que le site de McAfee a été pris en défaut pour la sécurité – de multiples failles XSS ont été découvertes au cours des trois dernières années.

Le Groupe a conseillé à McAfee de surveiller le trafic sortant afin de détecter les fuites d’informations possibles et de faire un meilleur usage des “spécialistes de la sécurité Web”, qu’ils ont gagné à l’acquisition de Foundstone en 2004.