Cisco corrige une faille critique de l’Internet Operation System

Cloud

Une mise à jour corrigeant un trou de sécurité des routeurs Cisco est disponible sur le portail du constructeur.

Quand la sécurité du Net tout entier est menacée, il n’y a pas de temps à perdre. Le 28 juillet dernier, Michael Lynn, un expert en sécurité, était rappelé à l’ordre par la Justice américaine après avoir présenté publiquement et en détails une faille critique de l’Internet Operation System (IOS) de Cisco (voir édition du 29 juillet 2005). Dès le lendemain, un correctif permettant de combler ce trou de sécurité était disponible sur le portail du constructeur. Un correctif qui a déjà fait l’objet d’une mise à jour le 1er aout.

La vulnérabilité du logiciel aurait toutefois des conséquences limitées selon Cisco qui précise que celle-ci touche uniquement les systèmes pour lesquels le support de l’IPv6 est activité. L’IOS est cependant installé dans tous les produits du constructeur, depuis les routeurs grand public jusqu’aux routeurs utilisés par les entreprises et les fournisseurs d’accès Internet. Au total, le logiciel touché par la faille permet de faire fonctionner plus de 10 millions de routeurs dans le monde, toujours selon Cisco.

Un trou de sécurité pas si bénin

Les administrateurs réseau peuvent vérifier si le support de l’IPv6 est activé sur leurs systèmes en exécutant la commande « show ipv6 interface ». Un retour vide signifie que cette option est désactivée ou non disponible. Tout autre retour montre que le système doit être mis à jour, au risque d’être attaqué par un pirate qui pourrait prendre son contrôle à distance. De fil en aiguille, l’Internet tout entier pourrait être ainsi paralysé.

Face à l’ampleur de cette menace, Cisco a préféré s’en remettre à la Justice pour réduire au silence Michael Lynn, qui est allé jusqu’à démissionner de l’Internet Security Systems (ISS) pour présenter, coûte que coûte, la faille de l’IOS à la conférence Black Hat. Après avoir rappelé à l’ordre l’expert en sécurité, la Justice a ordonné à un fournisseur d’accès de faire en sorte que son client Richard Forno retire de son site Infowarrior.org un document PDF contenant la présentation de Lynn.