Les routeurs Cisco sont parmis les plus réputés au monde.Très prisés par les entreprises, ils ont la réputation d'assurer une sécurité optimale et de ce fait assurent l'essentiel du trafic mondial de l'internet.
Lors d'une conférence sur sécurité à Las Vegas la semaine dernière, qui réunissait les plus grand acteurs de la sécurité informatique dans le monde, dont Cisco, un chercheur a dévoilé une faille concernant les fameux routeurs de la société.
L'auteur parle alors d'une faille critique, capable à terme de paralyser l'internet mondial, dans la mesure ou ces routeurs équipent une grande majorité des serveurs, soit environ 60%.
Mais Cisco, qui ne tient pas à ce qu'on lui fasse de mauvaise publicité gratuitement, ne l'entend pas de cette oreille, et décide alors de partir en guerre contre toute forme de propagation de l'information, en faisant pression sur ISS (Internet Security System) qui employait alors le chercheur.
ISS avait d'ailleurs alors décidé d'annuler la conférence concernant la dite faille, mais Michael Lynn, jusqu'alors chercheur pour ISS, a préféré donner sa démission pour présenter quand même son rapport sur la faille lors de la conférence.
La faille en question concerne d'anciennes versions d'IOS (Internetwork Operating System) qui possèderaient un bug dans la gestion des paquets à la norme IPv6.
Cette faille pourrait permettre de prendre le contrôle du routeur, voire de le mettre carrément hors service.
"Cela fait partie de ces cas où les logiciels peuvent détruire le matériel", a ajouté Lynn.
Mais c'était sans compter sur Cisco qui, même si le groupe ne pouvait plus faire pression sur l'entreprise de sécurité ISS puisqu'elle ne comptait alors déjà plus Lynn dans son personel, s'en est pris directement à l'ex-chercheur, en attaquant ce dernier pour violation de propriété intellectuelle.
Michael Lynn, avec les organisateurs de la conférence, a donc contacté Cisco pour parvenir à un accord.
Cisco ordonne alors à Lynn et à Black Hat (la conférence en question) de ne plus mentionner cette présentation à l'avenir, et les oblige à leur fournir touts documents ou éléments de codes se rapportant à la faille ainsi qu'a sa présentation.
Les deux parties accusées sont également obligées de remettre à Cisco tout document vidéo qui aurait pu être pris lors de la conférence.
Autant le dire tout de suite, Cisco ne fait pas dans la dentelle, et semble jusque là vouloir faire oublier jusqu'à l'existence de cette faille.
Mais Michael Lynn, en homme de conviction, reste sur ses positions :
"Je pense que j'ai fait ce qu'il fallait. La seule chose qui importe est qu'il existait un gros risque de sécurité. Tout le monde pensait IOS insensible à de telles attaques, c'est pourquoi il était nécessaire de lancer un cri d'alarme"
Cisco, qui s'est dit satisfait de l'accord auquel il est arrivé avec Lynn, a diffusé lui-même sa propre alerte de sécurité, précisant qu'une éventuelle attaque ne pourrait être réalisée que sur un réseau local.
Si Cisco se dit d'avis que la méthode de Lynn n'était pas la meilleure à choisir pour répandre son information, nous pouvons nous poser la question de savoir si celle de Cisco d'engager si brusquement des poursuites et de vouloir étouffer si vite l'affaire était bien judicieuse, mais l'histoire est maintenant close et Cisco a retiré sa plainte.
Source: infos-du-net
