Heartbleed touche au coeur de nombreux produits de Cisco et de Juniper
Tout le monde est concerné par Heartbleed, devenue la plus grande faille de sécurité de l'histoire d'Internet. Fabricants de serveurs, navigateurs, équipementiers livrent tour à tour leurs avis et leurs parades.
Le bug Heartbleed (en français : le coeur qui saigne), une faille dans le protocole OpenSSL, permettrait aux pirates de s'immiscer dans les échanges Web, les courriels et même certaines communications VPN. Cette vulnérabilité ne touche pas seulement les serveurs, mais également les équipements de Cisco et de Juniper. Les deux constructeurs affirment qu'ils travaillent ferme sur la manière dont Heartbleed impacte leurs produits et promettent qu'ils tiendront régulièrement informés leurs clients. Juniper a établi une liste de produits concernés dans deux avertissements et Cisco en a fait de même dans un avertissement.
Selon Nigel Glennie, porte-parole de Cisco, le constructeur donnera « une fiche conseil produit par produit ». Les ingénieurs du constructeur étudient quels équipements utilisant la version vulnérable d'OpenSSL nécessiteront un patch. En effet, l'industriel pense que la fonction spécifique, dans OpenSSL, au coeur de cette vulnérabilité n'est pas toujours mise en oeuvre dans tous les produits. Il a ainsi déterminé une liste d'une douzaine d'entre eux jugés vulnérables au bug Heartbleed. Une autre liste compte une soixantaine d'autres considérés comme potentiellement affectés, mais qui sont toujours en test. Environ deux douzaines de produits ont été jugés « non vulnérables », tel que le service d'hébergement Cisco Meraki Dashboard. Par contre, son service Webex était vulnérable mais le défaut a été corrigé.
Cette longue liste est sujette à des changements ou à des mises à jour n'importe quand. De même, aucune mise à jour logicielle de sécurité n'a été proposée, mais cela peut évoluer du jour au lendemain. Bien que le comité OpenSSL ait publié des patches pour se protéger contre la faille Heartbleed, Cisco recommande de s'appuyer sur ses propres évaluations et patches.
Sur le même sujetEdward Snowden n'est pas un héros, c'est une menace pour les entreprisesIl existait depuis deux ans !
Le bug Heartbleed existerait depuis environ deux ans et il a été révélé tout récemment. Il serait dû à une erreur de codage découverte récemment par Google et des chercheurs de chez Codenomicon. Quelques experts en sécurité, dont le spécialiste en cryptographie Bruce Schneier, qualifient le bug de catastrophique parce que des pirates habiles peuvent capter des mots de passe ou voler de certificats ou des clés. Cependant, Cisco juge la menace moyenne en ce qui concerne ses produits. Les plus vulnérables sont le Cisco AnyConnect Secure Mobility Client for iOS, Cisco IOS XE, le Cisco UCS B-Series (Blade) Servers, le Cisco UCS C-Series (Standalone Rack Servers), le Cisco Unified Communication Manager 10.0, le Cisco Desktop Collaboration Experience DX650, le Cisco TelePresence Video Communication Server, et trois versions des téléphones IP. En revanche, sont jugés non vulnérables le Cisco Wireless LAN Controller, le boîtier Cisco Web Security, le Cisco Content Management Appliance et boîier Cisco e-mail security.
Juniper n'a pas commenté les conséquences du bug Heartbleed, mais a publié une déclaration affirmant que le Juniper Networks Security Incident Response Team (SIRT) est très conscient du danger de ce bug et travaille 24 heures sur 24 pour parer aux risques sur ses produits. Le constructeur rappelle que sont vulnérables ceux fondés sur Junos OS 13.3R1 et Odyssey client 5.6r5 et ultérieurs, ainsi que le Juniper SSL VPN (IVEOS) 7.4r1 a et ultérieur et le SSL VPN (IVEOS) 8.0r1 et ultérieur. Ne sont notamment pas touchés par le bug, l'OS 13.2 et antérieur, les clients Network Connect dans leur version non-FIPS, ainsi que les passerelles SSL VPN (IVEOS) 7.3, 7.2 and 7.1.
(photo : PC World, groupe IDG)
