Plusieurs clients en fin de contrat d'assistance n'ont pas pu accéder au portail de Broadcom pour télécharger des correctifs de sécurité. (Crédit Photo: VMware)
Après les audits, Broadcom a mis une autre de ses menaces à exécution. Des clients détenteurs de licences perpétuelles de VMware dont les contrats de support ont expiré se sont vus refuser le téléchargement des mises à jour de sécurité critiques. Dans un communiqué, la société promet la livraison prochaine de patchs mais sans donner de calendrier précis.
Pas de trêve estivale pour les relations entre Broadcom et certains clients VMware. Selon nos confrères de The Register, ceux détenant des licences perpétuelles dont le support est terminé n'ont pas pu accéder aux correctifs de failles critiques de sécurité sur le portail de l'éditeur. Cette interdiction entraîne des risques immédiats pour la sécurité des entreprises clientes, d'autant plus que VMware a publié plusieurs avis de sécurité critiques en 2025.
Des avis de sécurité récents ont mis en garde contre des vulnérabilités critiques affectant ESXi, Workstation et Fusion. Ces failles donnent la capacité aux attaquants disposant de privilèges administrateurs sur les machines virtuelles d'exécuter du code sur les systèmes hôtes. Par ailleurs, VMware a révélé en début d'année l'existence de vulnérabilités activement exploitées dans la nature, notamment les CVE-2025-22224 et CVE-2025-22225. La CISA les a ajoutées à son catalogue des vulnérabilités connues exploitées.
Un cycle de correctifs promis sine die
Interrogé par Networkworld, un porte-parole de VMware confirmé la limitation d'accès aux patchs. « Notre portail d'assistance exigeant des droits clients valides pour les correctifs, seuls les clients autorisés ont accès aux correctifs pour le moment ». Il ajoute, « un cycle de livraison de correctifs distincts sera également disponible pour les clients non autorisés à une date ultérieure ». Mais le porte-parole n'a fourni aucun calendrier précis pour ce cycle.
Dans le message, il souligne que « les utilisateurs de produits VMware hérités qui ne disposent plus de droits de maintenance et d'assistance actifs auront accès gratuitement aux correctifs de sécurité critiques tant que ces produits seront pris en charge par Broadcom. Cela inclut les correctifs pour les vulnérabilités critiques traitées dans l'avis de sécurité VMware 2025-0013. »
Un comportement à risque pour les entreprises
« La décision de Broadcom de restreindre l'accès aux correctifs a redéfini les limites du comportement acceptable des fournisseurs », a déclaré Sanchit Vir Gogia, analyste en chef et CEO de Greyhound Research. Il poursuit « à une époque où tout retard dans la correction des failles peut entraîner des violations de sécurité ou des manquements à la conformité, le droit d'appliquer des correctifs doit être dissocié du statut d'abonnement ». Il a ajouté que les RSSI doivent désormais considérer l'accès aux correctifs comme une question à discuter au niveau du conseil d'administration des sociétés ».
L'analyste souligne « les entreprises ne doivent plus partir du principe que les licences perpétuelles garantissent un accès à long terme aux mises à jour ou à l'assistance ». Il recommande de « plutôt intégrer des clauses de protection des droits, notamment des droits de correctifs garantis par un dépôt fiduciaire et des conditions de continuité exécutoires, directement dans les contrats des fournisseurs. » Même constat pour Neil Shah, VP de la recherche chez Counterpoint Research avec la mise en place de garanties contractuelles « évaluant les risques en cas d'acquisition, de faillite ou de rupture de SLA, et incluant des dispositions spéciales pour le droit de renégociation ou d'indemnisation avec une assistance étendue pour les logiciels critiques ».
De plus en plus de contestations judiciaires
Cette stratégie de limiter l'accès aux correctifs de sécurité reflète des défis plus larges depuis l'acquisition de VMware par Broadcom. Une des premières décisions a été de supprimer les licences perpétuelles au profit d'une tarification par abonnement. Un changement qui a eu pour effet une augmentation sensible du coût pour beaucoup d'entreprises. Et pour celles arrivant en fin de support, Broadcom n'hésite pas à mettre la pression avec des lettres les enjoignant d'arrêter « toute utilisation des services de support associés aux logiciels VMware, y compris les versions de maintenance/mises à jour, les versions mineures, les versions majeures/mises à niveau, les extensions, les améliorations, les correctifs, les corrections de bugs ou les correctifs de sécurité (à l'exception des correctifs de sécurité zero-day) ». Récemment, le fournisseur a même activé l'arme des audits sur les sociétés ne respectant pas ces injonctions.
Face à cette pression, certaines entreprises se tournent vers la voie judiciaire avec quelques succès. Récemment, un tribunal néerlandais a ordonné à Broadcom de continuer à fournir une assistance VMware au ministère des Infrastructures et de la Gestion de l'eau (Rijkswaterstaat) pendant une période pouvant aller jusqu'à deux ans, pendant la migration de l'agence vers d'autres plateformes. Le tribunal de district de La Haye a estimé que le refus de Broadcom de fournir une assistance à la transition constituait un manquement à son « devoir de diligence ». Le tribunal a souligné que l'agence utilise VMware pour gérer des infrastructures critiques. Le non-respect de cette décision entraîne des pénalités journalières de 250 000 euros, plafonnées à 25 millions d'euros. Une décision qui « envoie un message clair : les perturbations opérationnelles causées par l'application des licences ne sont plus une affaire privée, mais un événement justiciable ayant des conséquences financières et sur la réputation », a fait remarquer Sanchit Vir Gogia. De son côté, Naveen Chhabra, analyste principal chez Forrester souligne la tendance générale des contestations judiciaires. « Une chose est claire : un nombre croissant de clients engagent des poursuites judiciaires contre Broadcom (quelle que soit la partie à l'origine de la procédure) », a-t-il observé, suggérant que la décision néerlandaise pourrait encourager des actions en justice similaires ailleurs.
Suivez-nous