5/5 - (3 votes)

ESET vient d’émettre son Bulletin de sécurité CA8562 daté du 20 décembre 2023. Une vulnérabilité a été découverte dans les produits ESET. Elle permet à un attaquant de provoquer une atteinte à la confidentialité des données et un contournement de la politique de sécurité.

ESET a été informé d’une vulnérabilité dans sa fonction d’analyse du protocole SSL/TLS, disponible dans les produits ESET répertoriés dans la section Produits concernés ci-dessous. Cette vulnérabilité amènerait un navigateur à faire confiance à un site avec un certificat signé avec un algorithme obsolète auquel il ne faut pas faire confiance. La vulnérabilité de la fonctionnalité d’analyse sécurisée du trafic était due à une validation incorrecte de la chaîne de certificats du serveur. Un certificat intermédiaire signé à l’aide de l’algorithme MD5 ou SHA1 était considéré comme fiable, et ainsi le navigateur d’un système sur lequel la fonction d’analyse sécurisée du trafic ESET était activée pouvait être amené à faire confiance à un site sécurisé avec un tel certificat. ESET a préparé un correctif et l’a distribué automatiquement dans le module de protection Internet 1464.

CVE-2023-5594, Mauvais suivi de la chaîne de confiance d’un certificat dans les produits de sécurité ESET. Une validation incorrecte de la chaîne de certificats du serveur dans la fonction d’analyse sécurisée du trafic est considérée comme un certificat intermédiaire signé à l’aide de l’algorithme MD5 ou SHA1 comme étant fiable.


ESET est une entreprise technologique basée à Bratislava, en Slovaquie, née en 1992 de la fusion de deux sociétés privées. La société a des bureaux régionaux aux USA, en Europe, en Argentine et à Singapour. Pour les TPE/PME, il propose des solutions de sécurité Cloud pour protéger les endpoints et les données contre toutes formes de menaces. Pour les entreprises, pionnier dans le domaine de la cyber sécurité et l'utilisation du machine learning, ESET propose des solutions à la pointe de la technologie vous permettant non seulement de détecter et stopper les menaces, mais aussi de les anticiper. Avec ESET Internet Security, il propose une protection avancée idéale pour les utilisateurs soucieux de leur vie privée, qui utilisent activement Internet pour leurs achats, les opérations bancaires, le travail et la communication. Il sécurise les appareils Windows, macOS et Android.


La confidentialité a été définie par l'Organisation internationale de normalisation comme « le fait de s'assurer que l'information n'est accessible qu'à ceux dont l'accès est autorisé », et est une des pierres angulaires de la sécurité de l'information. La confidentialité permet d'empêcher un accès non autorisé à des informations qui présentent un caractère sensible. Les intrusions dans les réseaux d'entreprise qui ne sont pas assez protégées, les négligences des personnes qui exposent des données non chiffrées, les niveaux insuffisants des contrôles d'accès sont autant de situations qui mettent en péril la confidentialité des données. De plus en plus de navigateurs, comme par exemple QWant et surtout Brave, se lancent dans une politique de confidentialité des données de navigation. Nul doute que l'utilisation d'un Réseau Privé Virtuel chiffré (VPN) et l'utilisation de données dans un cloud sécurisé améliorent la confidentialité et la sécurité des échanges. En juin 2023, la société Proton lance son extension de navigateur Proton Pass. Un gestionnaire de mots de passe sécurisé, gratuit et open source.


Une politique de sécurité informatique est un plan d'actions définies pour maintenir un certain niveau de sécurité. Elle reflète la vision stratégique de la direction de l'organisme (PME, PMI, industrie, administration, État, unions d'États…) en matière de sécurité informatique. Elle est liée à la sécurité de l'information. Elle définit les objectifs de sécurité des systèmes informatiques d'une organisation. Une politique de sécurité informatique est une stratégie visant à maximiser la sécurité informatique d’une entreprise. Elle est matérialisée dans un document qui reprend l’ensemble des enjeux, objectifs, analyses, actions et procédures faisant parti de cette stratégie. La stratégie qui vise à maximiser la sécurité informatique d’une entreprise se matérialise par un document qui regroupe les objectifs, les enjeux et les actions qu'elle doit mettre en œuvre. En complément de la politique de sécurité informatique, les entreprises se dotent d'une charte informatique qui établie des recommandations spécifiques au niveau des technologies informatiques. Certaines cyberattaques réussissent en contournant ou diminuant les politiques de sécurité. Le CERT et le CISA préconisent le comblement immédiat des correctifs des failles critiques et plus particulièrement ceux qui concernent les vulnérabilités de catégorie Zero Day.


Les CERT (Computer Emergency Response Teams) sont des centres d'alerte et de réaction aux attaques informatiques, destinés aux entreprises ou aux administrations, mais dont les informations sont généralement accessibles à tous. Les tâches prioritaires d'un CERT sont multiples. La centralisation des demandes d'assistance à la suite des incidents de sécurité sur les réseaux et les systèmes d'informations. Le traitement des alertes et réaction aux attaques informatiques. L'établissement et maintenance d'une base de donnée des vulnérabilités. La Prévention par diffusion d'informations. La coordination éventuelle avec les autres entités.

A propos de l'auteur

Retour en haut