Une faille à cent francs
10:30 - mercredi 3 août 2005
par
Gaëtan Allart
-
source: VUNet
Sans doute le savez-vous déjà mais un petit rappel ne fera de mal à personne. Aujourd’hui, l’ensemble du trafic Internet repose sur les routeurs. Ces derniers interconnectent différents réseaux et sont capables de déterminer le meilleur chemin pour emmener votre paquet donné d’un point A vers un point B. Dans l’état actuel des choses, une firme basée à San Francisco possède une large avance sur ses concurrents en terme de routage puisque ses 10 millions de routeurs permettent d’assurer près de 60% des transferts sur Internet. Je veux bien entendu parler du géant américain Cisco Systems qui fait aujourd’hui la une de l’actualité non pas pour son leadership du marché mais plutôt pour une sombre affaire de faille de sécurité.
Une faille dans IOS
Tout a commencé il y a quelques jours quand Michael Lynn, un expert en sécurité informatique travaillant pour l’Internet Security Systems (ISS), dévoilait publiquement et en détails une faille de sécurité critique sur les système d’exploitation IOS (Internet Operating System) de Cisco. Rappelons qu’IOS est aujourd’hui présent dans l’ensemble des produits de la firme que ce soit les commutateurs, les systèmes grand public ou encore les routeurs. Le lendemain, le numéro un des équipements réseaux mettait en ligne un correctif pour cette faille mais semble toujours minimiser cette affaire stipulant que seul le protocole IPv6 est concerné par ce trou de sécurité.
Une réelle menace ?
En réalité, si la faille venait à être exploitée par un groupe de pirates, les conséquences pourraient être dramatiques et on parle déjà d’une paralysie générale d’Internet. Face à l’ampleur de la menace, Cisco Systems a préféré emmener Lynn devant les tribunaux afin que celui-ci cesse de communiquer sur cette faille. La justice américaine en a même profité pour faire ordonner à Richard Forno le retrait immédiat du document PDF de son site présentant en détails les travaux de Michael Lynn.
Conscient de l’impact que pourrait avoir cette faille, Lynn en est même allé jusqu’à démissionner de son poste à l’ISS pour présenter lors du Black Hat, une conférence réunissant moult hackers, ladite faille. De cette manière, il espère que Cisco reconnaîtra enfin le risque inhérent au trou dans IOS pour ainsi communiquer massivement sur la nécessité de la mise à jour du logiciel.
Lire plus
Equipe de France de jeux vidéo en coupe d’Europe
- Baisse du coût du dégroupage pour les opérateurs
- Nouveau service : la rédaction vous conseille
- Apple dévoile la Mighty Mouse, une souris tactile
- Août mûrit les fruits, Intel baisse les prix
- Angleterre : premières poursuites pour téléchargement illégal
- ValveSoftware à la conquête du monde
- lliad annonce +52% de chiffre d'affaires
- Test de navigation GPS chez TT-Hardware
- Un tapis de souris réglable en hauteur
Liens commerciaux
Liens commerciaux
Publicité
Publicité
- 10/12 – Cisco s’attaque aux PME
- 03/08 – Une faille à cent francs
- 13/05 – Du nouveau sur le piratage de Cisco...
Emploi & Formation
Shopping
Vu l'effet et les conséquences que peut avoir la connaissance, par un trop grand nombre de personnes, de l'existence de cette faille, il aurait peut-être été opportun d'attendre un peu pour qu'elle soit corrigée avant de la divulguer.
Maintenant, Cisco plutôt que de corriger efficacement leur faille préfère envoyer "le découvreur" au tribunal. Cela relève de l'obscurantisme.
Ptain, le mec il a sacrifié son job pour une faille informatique![[:dawa']](http://img.infos-du-net.com/forum/images/perso/dawa'.gif)
Ouais gilou : obscurantisme, je ne vois pas d'autre mot.
1° voilà ce que j'appelle de la conscience professionelle
2° il se mange un procès par son ex-employeur en plus
"Cisco Systems a préféré emmener Lynn devant les tribunaux"
C'est des ricains... pas besoin d'en dire plus.
C'est malin aussi d'avoir jeté la clé, tout le monde peut rentrer
bah z'ont qu'à se sortir les doigts du cul et corriger la putain de faille aussi
c'est leur job hein, alors qu'ils assument aussi.
"Cisco Systems a préféré emmener Lynn devant les tribunaux"
C'est des ricains... pas besoin d'en dire plus.
Je ne vois pas ce qu'il y a de dément à ça.
En poussant un peu on pourrait une analogie du genre :
je trouve dans le commerce plein de chose : bouteille de gaz tout ça
j'arrive à faire une bombe avec tout ce que j'ai trouvé
je vais m'amuser à dire à tout le monde comment faire pour faire la même chose que j'ai fais
Bon c'est un peu capilotracté mais c'est dans l'esprit quand même.
Je ne vois pas quel interet peut bien avoir le guss à faire une présentation publique et exposer en détails comment rendre HS x millions d'outils indispensable.
Cisco a quand même nettement plus interet de corriger la faille découverte qu'à la laisser béante, donc l'histoire de "je veux sauver la planete et dire à tout le monde qu'il faut vite vite vite corriger la méchante faille" ça tient pas debout pour l'annonce publique de la faille, il reporte la faille à Cisco uniquement et point barre
edit : surtout qu'en plus la découverte de la faille s'est faite si j'ai bien compris pour son boulot à ISS, donc si ISS ne souhaite pas diffuser les infos (cf. : ISS et Cisco avaient décidés d'annuler la présentation du bonhomme au Black Hat), le gars n'a vraiment aucune raison d'y aller et d'exposer le fruit de ses recherches à ISS au public
bah z'ont qu'à se sortir les doigts du cul et corriger la putain de faille aussi
c'est leur job hein, alors qu'ils assument aussi.
Se sortir les doigts du cul ?
Apparement ça a été corrigé le lendemain
Je ne vois pas ce qu'il y a de dément à ça.
En poussant un peu on pourrait une analogie du genre :
je trouve dans le commerce plein de chose : bouteille de gaz tout ça
j'arrive à faire une bombe avec tout ce que j'ai trouvé
je vais m'amuser à dire à tout le monde comment faire pour faire la même chose que j'ai fais
Bon c'est un peu capilotracté mais c'est dans l'esprit quand même.
Je ne vois pas quel interet peut bien avoir le guss à faire une présentation publique et exposer en détails comment rendre HS x millions d'outils indispensable.
Cisco a quand même nettement plus interet de corriger la faille découverte qu'à la laisser béante, donc l'histoire de "je veux sauver la planete et dire à tout le monde qu'il faut vite vite vite corriger la méchante faille" ça tient pas debout pour l'annonce publique de la faille, il reporte la faille à Cisco uniquement et point barre
edit : surtout qu'en plus la découverte de la faille s'est faite si j'ai bien compris pour son boulot à ISS, donc si ISS ne souhaite pas diffuser les infos (cf. : ISS et Cisco avaient décidés d'annuler la présentation du bonhomme au Black Hat), le gars n'a vraiment aucune raison d'y aller et d'exposer le fruit de ses recherches à ISS au public
+1. C'est dans le cadre de son boulot, la "découverte" appartient à l'entreprise.
Apparement Cisco était déjà au courant mais leur position c'était plutôt "non non ca n'existe pas, c'est pas faisable", d'où la présentation au Black Hat.
Apparement Cisco était déjà au courant mais leur position c'était plutôt "non non ca n'existe pas, c'est pas faisable", d'où la présentation au Black Hat.
link
Se sortir les doigts du cul ?
Apparement ça a été corrigé le lendemain
le lendemain de l'annonce au black hat ou le lendemain du jour où on leur a signalé la faille ?
(je recherche l'article concernant mon poste d'avant...)
Je ne vois pas ce qu'il y a de dément à ça.
edit : surtout qu'en plus la découverte de la faille s'est faite si j'ai bien compris pour son boulot à ISS, donc si ISS ne souhaite pas diffuser les infos (cf. : ISS et Cisco avaient décidés d'annuler la présentation du bonhomme au Black Hat), le gars n'a vraiment aucune raison d'y aller et d'exposer le fruit de ses recherches à ISS au public
ISS et CISCO ne font pas de présentation au Black Hat puisque ce sont les "ennemis".
Par contre comme Lynn y va car c'est le seul endroit où on n'essaiera pas de le faire taire.
Pourquoi Cisco l'attaque ? Parce qu'ils ont une position dominante, et montrer que leurs systèmes peuvent avoir une faille aussi grosse peut leur faire perdre des sous.
Pourquoi il diffuse tant que ca ? Je ne vois pas du tout le rapport avec ce que tu expliques sur la bombe. Si des hackers parviennent à faire planter les matériels Cisco, ca va être le bordel partout sur le réseau, et économiquement ca peut être assez grave. Donc je comprends qu'il veuille le dire. Surtout si Cisco a refusé de répondre à ses avertissements (ce qu'on peut facilement comprendre de leur part).
Imagine que tu découvres qu'un système est dangereux, que tu sais qu'il y a eut des accidents, mais que personne n'a pu apporter la preuve que ca vient du système. Mais toi tu disposes des preuves. Qu'est ce que tu fais ? (en supposant que tu es honnête et que tu ne vends pas ton silence)...
THEniluje> euh... ton exemple est foireux, tu peux trouver dans des manuels scolaire comment faire des explosifs, hein !
En plus, le principe du "disclosure" est la base de la sécurité. Quand tu es responsable d'un site, tu veux être au courant des risques encouru. Les bonnes manières veulent que tu préviennnes à l'avance pour qu'un patch sortent rapidement. Mais le temps est compté. D'autres personnes beaucoup moins bien attentionné peuvent aussi travailler dessus !
Donc, si les éditeurs ne se sortent pas les doigts du cul, il est logique de le dire au monde pour qu'il se bouge. Au lieu de reconnaitre le problème, il essait de faire taire le scientifique. super. Tu leur ferais confiance à l'avenir ?
"La justice américaine en a même profiter pour" profité
http://www.vnunet.fr/actualite/sec [...] 0050729001
29/07
"Lynn a donné une présentation, mercredi à Las Vegas, au cours de la conférence Black Hat dédiée à la sécurité
[...]
Une mise à jour permettant de combler la faille utilisée par Lynn est déjà disponible, mais il reste très certainement des systèmes en place sur le Net qui ne sont pas encore protégés."
Ca laisse entendre que les deux éléments ne sont pas liés alors que :
http://www.vnunet.fr/actualite/sec [...] 0050802007
"Le 28 juillet dernier, Michael Lynn, un expert en sécurité, était rappelé à l’ordre par la Justice américaine après avoir présenté publiquement et en détails une faille critique de l’Internet Operation System (IOS) de Cisco (voir édition du 29 juillet 2005). Dès le lendemain, un correctif permettant de combler ce trou de sécurité était disponible sur le portail du constructeur."
Laisse plutôt entendre le contraire
Zarb
THEniluje> euh... ton exemple est foireux, tu peux trouver dans des manuels scolaire comment faire des explosifs, hein !
On a pas du aller à la même école
le lendemain de l'annonce au black hat ou le lendemain du jour où on leur a signalé la faille ?
(je recherche l'article concernant mon poste d'avant...)
Lendemain de l'annonce au black hat en effet autant pour moi
alors le lien : http://today.reuters.com/news/news [...] SCO-DC.XML (english inside)
le petit extrait concernant ce dont je parlais :
"The reason we're doing this is because someone said you can't," said one hacker, who like the others spoke to Reuters on condition of anonymity.
c'est pas malin d'avoir divulguer publiquement les détails.
et c'est pas malin non plus de cisco d'avoir attendu qu'ils dévoilent tout au black hat pour sortir le correctif.
Esperons simplement que les admins des routeurs les mettront à jour rapidement.
ISS et CISCO ne font pas de présentation au Black Hat puisque ce sont les "ennemis".
Pourquoi Cisco l'attaque ? Parce qu'ils ont une position dominante, et montrer que leurs systèmes peuvent avoir une faille aussi grosse peut leur faire perdre des sous.
Pourquoi il diffuse tant que ca ? Je ne vois pas du tout le rapport avec ce que tu expliques sur la bombe. Si des hackers parviennent à faire planter les matériels Cisco, ca va être le bordel partout sur le réseau, et économiquement ca peut être assez grave. Donc je comprends qu'il veuille le dire. Surtout si Cisco a refusé de répondre à ses avertissements (ce qu'on peut facilement comprendre de leur part).
Imagine que tu découvres qu'un système est dangereux, que tu sais qu'il y a eut des accidents, mais que personne n'a pu apporter la preuve que ca vient du système. Mais toi tu disposes des preuves. Qu'est ce que tu fais ? (en supposant que tu es honnête et que tu ne vends pas ton silence)...
1/"Cisco et l’ISS se sont mis d’accord pour annuler la présentation car des recherches plus approfondies étaient nécessaires, a indiqué à Vnunet.com, John Noh, porte parole de Cisco."
Je disais juste qu'ils avaient décidés d'annuler le truc, pas qu'ils s'amusaient à aller main dans la main présenter les failles existantes.
2/ Non, ça n'a aucun rapport.
Bah ils auraient étouffé totalement l'histoire et jamais sortit de patch dans ce cas, et je ne pense pas que ce soit réellement possible de faire ça parceque dans ce cas ils s'exposent à des problèmes nettement plus gros que juste dire "Ya un bug, voila le patch, continuez à utiliser nos produits avec délicatesse, on vous aime".
Le gars fait n'importe quoi n'importe comment, c'est normal que ça lui retombe sur le coin de la figure.
3/ "Donc je comprends qu'il veuille le dire."
A Cisco oui, à d'autres de Cisco, non, justement, sinon c'est lui même qui provoque directement et rapidement le scénario que tu décris
"Surtout si Cisco a refusé de répondre à ses avertissements"
Mais mince il est où le link où ça dit ça ?
On notera que Lynn ne l'a pas dévoilé publiquement immédiatement... Il l'a fait parce que Cisco essayer de minimiser/cacher cette faille. Je serais plus à même de jeter la pierre à Cisco qu'à Lynn sur ce coup là...
En principe quand on te préviens d'une faille tu la corriges et tu publies le correctif, tu te dis pas "nan c'est bon ca va passer personne d'autre le sait", c'est plutôt cette attitude qui est dangeureuse parce que si Lynn n'avait pas divulgué la faille elle ne serait pas encore corrigée et le réseau serait encore vulnérable...
Mais le temps est compté. D'autres personnes beaucoup moins bien attentionné peuvent aussi travailler dessus !
Donc, si les éditeurs ne se sortent pas les doigts du cul, il est logique de le dire au monde pour qu'il se bouge. Au lieu de reconnaitre le problème, il essait de faire taire le scientifique. super. Tu leur ferais confiance à l'avenir ?
Oui, donc autant se saborder et dire à tout le monde comment mettre la panique sur internet en fait
Ben je ne vois vraiment pas ce qu'il y a de logique.
Moi dans cette configuration où j'aurais reporté un truc critique et qu'il n'était pas corrigé (ce qui n'est pas prouvé à propos de cisco d'ailleurs, enfin pour ce que j'ai lu), bah j'aurais laissé tombé.
Si quelqu'un d'autre découvre la faille et l'exploite : dommage pour la boite, elle le savait, elle n'a pas corrigé : elle ne peut s'en prendre qu'a elle même.
Si personne ne la découverte ou ne l'exploite : bah c'est cool.
Or si tu annonce partout la faille, la deuxieme situation n'a même pas une once de chance d'exister
"Cisco Systems a préféré emmener Lynn devant les tribunaux"
C'est des ricains... pas besoin d'en dire plus.
Euh, le fait que ce soient les Américains ne change rien, et pour preuve : un ingénieur Français a réussi à percer le secret des cartes bleues il y a quelques années, et il l'a tout simplement testé (c'est à dire qu'il a fabriqué une carte qui lui permettait de retirer n'importe où et en entrant n'importe quel code). Au lieu de s'en mettre plein les poches en écumant les distributeurs de billets, il a révélé à je ne sais plus quel banque que cette faille existait bel et bien. Au lieu de l'en remercier, il s'est vu attaqué en justice, et est maintenant en prison.
Donc moi je dis Américains et Français, même combat...
C'est hallucinant de te lire THEniluje, la faille n'est pas problèmatique pour Cisco mais est potentiellement épouvantable pour ses clients. Mettre la merde sous la tapis n'est pas un moyen de s'en débarrasser.
De plus, la faille découverte ( cf http://linuxfr.org/~letoff/18964.html ) semble plus être un problème de concept (genre protection mémoire et autre) dans IOS plus que réellement une faille exploitable directement. Cela veut dire que le mur n'a pas forcément de troues mais qu'il est en placo de 3 mm.
alors le lien : http://today.reuters.com/news/news [...] SCO-DC.XML (english inside)
le petit extrait concernant ce dont je parlais :
"The reason we're doing this is because someone said you can't," said one hacker, who like the others spoke to Reuters on condition of anonymity.
En effet s'pas clair comme histoire
raoulbob> CE n'est pas comparrable, il a essayer de "vendre" sa découverte. Il est loin d'être aussi clean que ça.
De plus, ça "découverte" était connu depuis longtemps. (équivalent au yes card ?)
C'est hallucinant de te lire THEniluje, la faille n'est pas problèmatique pour Cisco mais est potentiellement épouvantable pour ses clients. Mettre la merde sous la tapis n'est pas un moyen de s'en débarrasser.
J'ai jamais parlé de l'attitude de Cisco mais de celle du gars qui publie tout le bazar au grand public, je me doute bien que les clients veulent des produits sûrs au maximum hein
Cela a toujours été fait comme ça. Si l'éditeur de la faille ne résout pas le problème assez vite (selon la gravité qq semaine à qq mois) : on publie !
Un gusse qui dévouvrirait un gros bug dans un régulateur de vitesse devrait fermé sa gueule pour éviter de nuire au vendeur de voiture ?
(...)
Si quelqu'un d'autre découvre la faille et l'exploite : dommage pour la boite, elle le savait, elle n'a pas corrigé : elle ne peut s'en prendre qu'a elle même.
Si personne ne la découverte ou ne l'exploite : bah c'est cool.
Or si tu annonce partout la faille, la deuxieme situation n'a même pas une once de chance d'exister
Il a annoncé partout la faille et du coup elle a été corrigée, donc si les admins sont responsables elle ne pourra pas être exploitée...
C'est plus dangereux d'avoir une faille potentiellement exploitable (qui en plus pouvait apparement être corrigée rapidement dans ce cas) mais "cachée", qu'une faille connue mais corrigée... et je suis ps sûr que la manière d'exploiter la faille ait été divulguée.
edit : surtout qu'en plus la découverte de la faille s'est faite si j'ai bien compris pour son boulot à ISS, donc si ISS ne souhaite pas diffuser les infos (cf. : ISS et Cisco avaient décidés d'annuler la présentation du bonhomme au Black Hat), le gars n'a vraiment aucune raison d'y aller et d'exposer le fruit de ses recherches à ISS au public
Merde grillé par toi la honte. Mais merci de soulever ce point important.
Lynn es fautif dans l'histoire pour s'être servi d'infos confidentielles (dont certains supposent qu'ils n'étaient pas destinataire au sein de chez ISS, ca enfoncerait le clou si cela se révélait être vrai), surtout que Cisco et ISS avaient un accord de non divulgration si je ne me trompe pas. Et pour enfoncer le clou, Lynn n'a pas du suivre les règles de disclosure de ISS ... donc je suis heureux qu'il ait un proces au cul. Faut pas pousser mémé dans les orties, il y a des règles de travail et de bon sens.