Quand la sécurité du Net tout entier est menacée, il n’y a pas de temps à perdre. Le 28 juillet dernier, Michael Lynn, un expert en sécurité, était rappelé à l’ordre par la Justice américaine après avoir présenté publiquement et en détails une faille critique de l’Internet Operation System (IOS) de Cisco (voir édition du 29 juillet 2005). Dès le lendemain, un correctif permettant de combler ce trou de sécurité était disponible sur le portail du constructeur. Un correctif qui a déjà fait l’objet d’une mise à jour le 1er aout.
La vulnérabilité du logiciel aurait toutefois des conséquences limitées selon Cisco qui précise que celle-ci touche uniquement les systèmes pour lesquels le support de l’IPv6 est activité. L’IOS est cependant installé dans tous les produits du constructeur, depuis les routeurs grand public jusqu’aux routeurs utilisés par les entreprises et les fournisseurs d’accès Internet. Au total, le logiciel touché par la faille permet de faire fonctionner plus de 10 millions de routeurs dans le monde, toujours selon Cisco.
Un trou de sécurité pas si bénin
Les administrateurs réseau peuvent vérifier si le support de l’IPv6 est activé sur leurs systèmes en exécutant la commande « show ipv6 interface ». Un retour vide signifie que cette option est désactivée ou non disponible. Tout autre retour montre que le système doit être mis à jour, au risque d’être attaqué par un pirate qui pourrait prendre son contrôle à distance. De fil en aiguille, l’Internet tout entier pourrait être ainsi paralysé.
Face à l’ampleur de cette menace, Cisco a préféré s’en remettre à la Justice pour réduire au silence Michael Lynn, qui est allé jusqu’à démissionner de l’Internet Security Systems (ISS) pour présenter, coûte que coûte, la faille de l’IOS à la conférence Black Hat. Après avoir rappelé à l’ordre l’expert en sécurité, la Justice a ordonné à un fournisseur d’accès de faire en sorte que son client Richard Forno retire de son site Infowarrior.org un document PDF contenant la présentation de Lynn.
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…