CiscoGates : Histoire dune catastrophe organisée
Il était une fois, il y a bien longtemps, deux grands sages se posèrent une question fondamentale : Qu'adviendrait-il si l'on parvenait à lancer un shellcode sur l'IOS de Cisco ? Un shellcode, c'est un méchant programme qui s'exécute tout seul et fonctionne indépendamment de sa méthode d'injection. IOS, c'est le nom du firmware -du système d'exploitation- qui supervise les équipements de commutation signés Cisco.
Impossible répondait l'un, dont les attaches avec le monde des réseaux étaient plus que connues. Sans le moindre doute, répliquait son interlocuteur, lequel, on le comprendra, faisait son quotidien de telles découvertes. Et c'est ainsi que naquit l'Exploit Cisco qui fit trembler le monde... des médias.
Exploit, c'est beaucoup dire. Pour résumer sommairement, un certain Mike Lynn est chargé, par son employeur ISS, d'effectuer certaines recherches sur l'IOS Cisco. Ces recherches aboutissent et sont communiquées au principal intéressé au moins aux environs du 14 Juin, intéressé qui ne semble pas particulièrement réagir. Il faut préciser que Cisco a participé aux dites recherches et son désintéressement au problème n'est en aucun cas la conséquence d'un manque d'information. S'en suit alors la décision d'utiliser le fruit de ces recherches pour constituer le sujet d'une conférence publique à l'occasion de l'actuelle « Black Hat Conference » de Las Vegas. L'an passé, un concurrent, David Litchfield (NGSS), avait un peu trop tiré la couverture à lui, et, dans un milieu où la publication fait force de loi et d'étendard marketing, il faut savoir se montrer savant et disert. ISS ne pouvait manquer telle occasion.
Mais voilà, quelques jours avant la tenue de ladite conférence, que Cisco se réveille : il faut expurger cette communication, saisir les milliers de CD-Rom pressés par les organisateurs de la conférence, étouffer l'affaire et ne jamais, au grand jamais, mentionner le fait qu'un exécutable nocif puisse un jour tourner sur un noyau IOS. L'intimidation prend corps, la direction d'ISS revient sur ses positions, se souvenant probablement combien lui avait coûté en terme d'image de marque la malheureuse affaire du bug Witty Worm. Compassion de coreligionnaire en quelque sorte.
Mike Lynn n'en démord pas. Il refuse cette censure et ce revirement de situation, d'autant plus que la communication porte essentiellement sur le « principe » du danger et non sur l'exploitation d'une nouvelle faille inconnue à ce jour. L'exemple même utilisé pour la démonstration est antédiluvien, corrigé par Cisco et connu de toutes les personnes normalement concernées. Lynn, courageusement, démissionne et décide de s'en tenir au programme annoncé. Sa conférence et surtout les conclusions de son rapport auront des répercussions sans précédant. ISS et Cisco tombent à bras raccourcis sur ce chercheur trop bavard et portent plainte pour divulgation d'informations n'appartenant qu'à Cisco. Le but est alors de museler les médias et d'interdire toute mention de l'affaire. Mais les choses se compliquent. La presse était présente lors de la présentation, Cryptome diffuse les principaux documents conjointement avec Infowarrior. Schneier s'insurge contre les méthodes musclées de l'équipementier, Bejtlich, du Tao de la Sécurité, relate également les évènements (il y consacrera d'ailleurs plusieurs articles). Wired publie une interview de la victime où les multiples revirements d'opinion de Cisco sont clairement détaillés. Un accord juridique est enfin conclu afin de désenvenimer la situation... du moins à brève échéance. Car, toujours selon Wired, le FBI s'autosaisit de l'affaire et ouvre une enquête.
Pour Cisco, ce sorcier de Lynn est un fabricant d'armes*. Non pas pour, 5 secondes durant, avoir montré comment hacker un routeur, mais pour oser conclure que la méthode pourrait être utilisée « avec d'autres attaques en dépassement de tampon que l'avenir nous réservera ». En d'autres mots, la technique Lynn sera toujours exploitable, il suffira de choisir le bon point de faiblesse par lequel sera injecté le fameux shellcode. De tels propos peuvent provoquer des dégâts considérables. Oh, pas tellement du côté des routeurs... les administrateurs réseaux savent fort bien comment déployer des correctifs, tester les régressions possibles, appliquer les rustines importantes... ou même oublier de les appliquer. Cisco ne sera jamais qu'une victime de plus de l'instabilité liée aux développements complexes. Si une seule méthode d'attaque suffisait à provoquer un Armageddon informatique, cela ferait belle lurette que plus personne ne se souviendrait du mot Microsoft. Non, Cisco n'a pas été frappé en plein coeur d'IOS. L'estoc de Lynn a porté là où personne, chez l'équipementier, ne s'y attendait : en plein milieu de l'Image de Marque, au centre de l'Amour Propre. Pour une fois, un « petit ingénieur » a refusé de plier face à la menace d'une armée d'avocats. Et le géant des réseaux est devenu, en l'espace de quelques jours, la risée de la profession. Sans la réaction épidermique d'un quelconque Responsable Juridique, sans cet incroyable aveuglement du Directeur de la Communication de Cisco, bref, sans cette attitude aussi violente qu'infantile, personne n'aurait remarqué la causerie de Mike Lynn. Il y a plus d'une semaine, Oracle, l'un des plus gros éditeurs de SGBD, annonçait la correction de plus de 50 trous de sécurité, et l'on apprenait que d'autres défauts ne seraient pas comblés avant longtemps. Qui s'en souvient encore ? Combien d'articles ont été écrits à cette occasion ? En mars dernier, Sybase tentait, à grands coups de barreau, de museler Litcfield. L'affaire est dans toutes les mémoires.
* Ndlr: Comme aucun autre confrère ne semble avoir osé...