Sites De Bitdefender

Bonjour Yann,


Je tenais à vous signaler que vos sites beta.central.bitdefender.com et my.bitdefender.com ne sont pas vraiment sécurisé (c'est le moins que l'on puisse dire, surtout pour le premier) https://www.ssllabs.com/ssltest/analyze.htm...bitdefender.com et https://www.ssllabs.com/ssltest/analyze.htm...bitdefender.com . Par ailleurs, nginx est en version 1.4 (1.1.19 sur le premier et 1.2.1 pour le deuxième).


A titre personnel, je trouve ça hallucinant de la part d'une entreprise de sécurité informatique, d'autant plus que j'avais déjà prévenu via facebook il y a plus d'un mois.


J'espère que vous allez remonter ça aux personnes concernés (j'en doute pas),


Cordialement, Dieu.

Réponses

  • Bonjour Dieu,


    En détail, avant que je lance les vérifications, qu'est ce qui ne va pas exactement, pour quelles raisons cela vous inquiète précisemment ?

  • Dieu
    Modifié (août 2015)
    Bonjour Dieu,


    En détail, avant que je lance les vérifications, qu'est ce qui ne va pas exactement, pour quelles raisons cela vous inquiète précisemment ?


    Bonjour Yann, c'est le fait que les sites (enfin le premier) soit vulnérable à des attaques par MITM avec des failles rendues publiques il y a plus d'un an. Vous comprenez que de la part d'une entreprise de sėcuritė informatique ça peut ėtonner d'autant que vous faîtes pleins d'articles sur votre blog à ce sujet.


    Cordialement, Dieu.

  • Yann A.
    Yann A. mod
    Modifié (août 2015)

    Bonjour Dieu,


    J'ai demandé un retour des personnes en charge du site, mais l'importance des vulnérabilité dont vous parlez, dépend d'abord du site en question et de ce qu'il y a derrière. Le tout est de savoir si la vulnérabilité peut être véritablement exploitée et si le site visé est un site sensible qui permettrait d'accéder à des informations confidentielles ou d'accéder à d'autres serveurs et machines. Cela n'est pas le cas véritablement ici. Et surtout, n'oubliez pas que le site est toujours en bêta.

  • Bonjour Dieu,


    J'ai demandé un retour des personnes en charge du site, mais l'importance des vulnérabilité dont vous parlez, dépend d'abord du site en question et de ce qu'il y a derrière. Le tout est de savoir si la vulnérabilité peut être véritablement exploitée et si le site visé est un site sensible qui permettrait d'accéder à des informations confidentielles ou d'accéder à d'autres serveurs et machines. Et surtout, n'oubliez pas que le site est toujours en bêta.


    Je comprends que ce n'est pas un site d'IOV mais c'est une question de principe de la part d'une entreprise de sėcuritė informatique. D'ailleurs vous le savez très bien car là aussi il n y avait pas grand chose à trouver et pourtant... http://www.silicon.fr/bitdefender-pirate-e...nne-123136.html


    Cordialement, Dieu.

  • Yann A.
    Yann A. mod
    Modifié (août 2015)

    Bonjour Dieu,


    Apparemment, vous cherchez la petite bête, mais pas parce que vous craigniez pour la sécurité de votre compte MyBitdefender.


    L'exemple que vous citez, n'a pas de rapports avec la discussion sur ces vulnérabilités, et Bitdefender a déjà répondu sur ce sujet. Il n'y a rien eu de véritablement piratage et le "hacker" s'est vanté de choses qui n'étaient pas réelles. Et surtout Bitdefender a réagi rapidement en améliorant la sécurité à ce niveau.


    Voici l'explication officielle concernant ce prétendu piratage:


    "Lors d'une mise à niveau de l'infrastructure, l'un de nos serveurs n’a pas réussi à faire sa mise à jour automatique avec les derniers correctifs de sécurité, ce qui l’a rendu vulnérable à un problème connu. En utilisant la vulnérabilité, l'attaquant a réussi à accéder à certaines parties de la


    RAM, lui permettant d'accéder à des morceaux de mémoire contenant des données post-décryptage, y compris des informations limitées de connexion.


    Bitdefender ne sauvegarde PAS les mots de passe en texte brut : Les mots de passe sont hachés et stockés dans une base de données NoSQL, et la communication entre nos clients et nos serveurs s’effectue via une connexion HTTPS. On peut le résumer ainsi :


    - Aucune attaque « homme du milieu » n’est possible


    - Aucune injection SQL n’est possible


    - Les mots de passe sont sauvegardés en haché et non en texte brut


    - La communication entre nos clients et notre infrastructure cloud est chiffrée


    Les mesures prises :


    Bitdefender a immédiatement résolu le problème et a suivi la procédure suivante :


    1.Tous les mots de passe potentiellement piratés ont été invalidés.


    2. Le cas échéant, tous les partenaires ont immédiatement été avisés que leurs mots de passe ont été


    réinitialisés et ont dû en créer un nouveau.


    3. Cette question concerne moins de 1% de nos clients PME. Aucuns consommateurs ou clients


    d'entreprises n’ont été touchés.


    4. Tous les serveurs ont été soumis à une vérification de sécurité complète.


    5. Des mesures de sécurité supplémentaires ont été mises en œuvre pour éviter qu’une telle


    situation se reproduise.


    6. Des fonctionnalités de sécurité supplémentaires sont en cours de développement pour notre


    console cloud publique en ce moment même."

  • Bonjour Dieu,


    Apparemment, vous cherchez la petite bête, mais pas parce que vous craigniez pour la sécurité de votre compte MyBitdefender.


    L'exemple que vous citez, n'a pas de rapports avec la discussion sur ces vulnérabilités, et Bitdefender a déjà répondu sur ce sujet. Il n'y a rien eu de véritablement piratage et le "hacker" s'est vanté de choses qui n'étaient pas réelles. Et surtout Bitdefender a réagi rapidement en améliorant la sécurité à ce niveau.


    Voici l'explication officielle concernant ce prétendu piratage:


    "Lors d'une mise à niveau de l'infrastructure, l'un de nos serveurs n’a pas réussi à faire sa mise à jour automatique avec les derniers correctifs de sécurité, ce qui l’a rendu vulnérable à un problème connu. En utilisant la vulnérabilité, l'attaquant a réussi à accéder à certaines parties de la


    RAM, lui permettant d'accéder à des morceaux de mémoire contenant des données post-décryptage, y compris des informations limitées de connexion.


    Bitdefender ne sauvegarde PAS les mots de passe en texte brut : Les mots de passe sont hachés et stockés dans une base de données NoSQL, et la communication entre nos clients et nos serveurs s’effectue via une connexion HTTPS. On peut le résumer ainsi :


    - Aucune attaque « homme du milieu » n’est possible


    - Aucune injection SQL n’est possible


    - Les mots de passe sont sauvegardés en haché et non en texte brut


    - La communication entre nos clients et notre infrastructure cloud est chiffrée


    Les mesures prises :


    Bitdefender a immédiatement résolu le problème et a suivi la procédure suivante :


    1.Tous les mots de passe potentiellement piratés ont été invalidés.


    2. Le cas échéant, tous les partenaires ont immédiatement été avisés que leurs mots de passe ont été


    réinitialisés et ont dû en créer un nouveau.


    3. Cette question concerne moins de 1% de nos clients PME. Aucuns consommateurs ou clients


    d'entreprises n’ont été touchés.


    4. Tous les serveurs ont été soumis à une vérification de sécurité complète.


    5. Des mesures de sécurité supplémentaires ont été mises en œuvre pour éviter qu’une telle


    situation se reproduise.


    6. Des fonctionnalités de sécurité supplémentaires sont en cours de développement pour notre


    console cloud publique en ce moment même."


    Je ne parlais pas du hack en lui même je parlais uniquement de sa cause, c'est à dire un serveur non à jour. Je souhaite juste que vos sites n'aient pas de failles de sécuritė en vous les signalant sans arrière pensėe. Par contre, vous dite que "la communication entre nos clients et nos serveurs s’effectue via une connexion HTTPS" pourtant le serveur de MAJ les diffusent en http.


    Cordialement, Dieu.