Cisco enchaîne les problèmes de sécurité

Décidément l'été de Cisco est riche en problèmes de sécurité de tout genre. Après la dispute très médiatique entre le constructeur et Michael Lynn, un ex-chercheur d'ISS, à propos de la publication d'informations sur la vulnérabilité d'IOS à des prises de contrôle à distance (voir notre encadré et l'article de Marc Olanié sur le site web de CSO), Cisco a été contraint de réinitialiser l'ensemble des mots de passe d'accès à son portail internet après à la découverte d'une faille de sécurité dans un moteur de recherche interne au site. Selon le constructeur, plusieurs mots de passe ont été dérobés par des hackers ce qui l'a contraint, par mesure de prudence, à remettre à zéro les mots de passe du site. L'ensemble des clients, employés et partenaires de la firme utilisant les parties sécurisées du portail sont donc contraints de se réenregistrer pour accéder aux zones réservées du site. Cisco invite les utilisateurs de son portail à envoyer un e-mail à l'adresse "cco-locksmith@cisco.com" depuis leur compte mail habituel (celui qui correspond à leur identifiant CCO). Ils devraient recevoir dans les minutes suivantes un nouveau mot de passe et des instructions pour se reconnecter au site. Cisco a mal à l'IOS Cisco n'en finit pas, par ailleurs, de se dépêtrer de "l'affaire Lynn" du nom de ce chercheur en sécurité qui lors de la dernière Black Hat Conference a montré que le système d'exploitation des routeurs Cisco, IOS, est vulnérable à des attaques en Shellcode. Lynn, salarié d'ISS, devait publier ses travaux lors de la Black Hat Conference avec l'assentiment de son employeur et de Cisco. Mais à quelques jours de la conférence, Cisco a cherché à étouffer la publication avec l'aval d'un ISS soudain pris de remords et de doutes quant à l'état d'achèvement des travaux de son chercheur. Une crise de conscience qui, sous couvert de responsabilité, fleurait bon le recul en rase campagne face à la puissance de Cisco. Toujours est-il que Lynn n'a lui pas eu de tels états d'âmes. Après avoir démissionné d'ISS, il a présenté crânement son sujet lors de la conférence et prouvé ses dires. Chapeau (noir) donc à Lynn... Quant à Cisco, après moult rodomontades, il a préféré s'asseoir sur ses poursuites en justice et conclure l'armistice avec le chercheur.