Cisco et ISS font taire un expert trop bavard

Un juge californien a accédé à la requête de Cisco Systems et Internet Security Systems (ISS) et a ordonné à Michael Lynn, un expert de la sécurité, de cesser temporairement ses activités.

La décision du juge a été prononcée jeudi dernier, mais Lynn a depuis réglé le différent. Tous les partis se sont mis d’accord pour rendre l’injonction permanente.

Lynn a donné une présentation, mercredi à Las Vegas, au cours de la conférence Black Hat dédiée à la sécurité, où il a montré comment utiliser une faille connue de l’Internet Operation System (IOS) de Cisco, pour endiguer le bon fonctionnement d’un routeur. Il a laissé entendre que ce trou de sécurité pourrait paralyser l’Internet tout entier.

Une mise à jour permettant de combler la faille utilisée par Lynn est déjà disponible, mais il reste très certainement des systèmes en place sur le Net qui ne sont pas encore protégés.

L’expert de la sécurité a été à l’origine choisi par l’ISS pour donner une présentation en sa qualité d’employé de la société. Quand celle-ci a décidé à la dernière minute d’annuler l’intervention, Lynn a démissionné et a maintenu sa participation à la conférence.

Les organisateurs de la conférence ont retiré 31 pages, tirées de la présentation de Lynn, du manuel de la conférence à la demande de l’ISS.

« Cisco et l’ISS se sont mis d’accord pour annuler la présentation car des recherches plus approfondies étaient nécessaires, a indiqué à Vnunet.com, John Noh, porte parole de Cisco. Ceci aurait permis aux chercheurs de fournir plus de détails. »

Après la présentation de Lynn, qui a démontré comment neutraliser un routeur contrôlé à distance à l’aide d’IOS, Cisco et l’ISS ont engagé des poursuites judiciaires.

« Cisco et l’ISS ont conjointement porté plainte contre Michael Lynn et les organisateurs du Back Hat car nous croyons que certaines informations présentées hier par M. Lynn sont la propriété intellectuelle de Cisco et de l’ISS, et qu’il se les ait procurées illégalement », ont déclaré les deux sociétés dans un communiqué commun.

Cisco n’a pas reproché à Lynn d’avoir découvert une faille dans l’IOS, mais a contesté le fait que sa présentation contenait des informations qui auraient pu aider des tiers à exploiter ce trou de sécurité. Le constructeur a allégué que ceci n’était pas dans les meilleurs intérêts d’Internet.

La décision de justice interdit Lynn et les organisateurs de la conférence Back Hat de diffuser toute note et tout enregistrement tirés de la présentation, et empêche Lynn de diffuser toute autre information sur la faille d’IOS, qu’il aurait collectée quand il était employé à l’ISS.

Cisco pense également qu’en décompilant le logiciel IOS, Lynn a violé ses droits de copyright. La décompilation est une forme de programmation inversée.

Un porte parole de l’ISS a confirmé que la société a pris des mesures légales contre son ancien employé, mais n’a pas pu fournir plus de détails car elle n’avait pas encore vu le dépôt de plainte à ce moment. Il n’a pas été possible de joindre Lynn pour recueillir son avis.

Un employé du fournisseur de solutions sécuritaires F-Secure, qui était présent à la conférence, a déclaré sur le blog de la société : « Inutile de dire que le trou de sécurité est plutôt sérieux. »

Lynn était au courant des conséquences légales de ses actes alors qu’il donnait sa présentation, mais il a estimé que c’était la seule chose à faire compte tenu de l’importance du problème.

IOS étant le système d’exploitation le plus répandu sur le réseau Internet, ce logiciel est une cible pour les pirates. Le problème est d’autant plus sérieux que le code source de l’IOS a été volé en 2004, ce qui permet potentiellement aux pirates de rechercher des trous de sécurité dans le logiciel.

• Un document Word contenant l’injonction de Cisco et de l’ISS est disponible ici.