Contre les failles NAC Cisco, le « patch avocat »

• Imprimer

Un étudiant de seconde année de l'Université de Portland, Oregon, est parvenu à contourner les mécanismes de quarantaine du NAC de Cisco, installé sur le réseau du Campus. En fait, expliquent nos confrères de NetworkWorld, l'intrus s'est aperçu qu'une réponse vide à la requête NAC portant sur le système d'exploitation utilisé, donnait accès au réseau sans que soit nécessaire le moindre passage au travers du « Cisco Clean Access » (CCA). Un comportement par défaut prévu pour que des appareils un peu hors norme, tels certains PDA, puissent également bénéficier d'un raccordement. En remerciement de la découverte de cette faille, l'étudiant a été suspendu, sanction relativement lourde lorsque l'on connaît le coût des études supérieures aux Etats-Unis. Cisco, en revanche, parvient ainsi à peu de frais à corriger un bug de conception qui avait échappé ses ingénieurs. Bug dont l'exploitation généralisée aurait pu coûter bien plus cher qu'un semestre d'inscription à l'UoP. Cette intrusion repose, précisent nos confrères, sur un principe considérablement plus simple que celui qui consiste à retourner de fausses informations au CCA, méthode ayant fait l'objet d'une démonstration lors de la récente Black Hat Conference de 2007, et qui faisait déjà l'objet de spéculations fort proche de la part d'un expert français très connu, dans le courant de l'année 2005. Toujours à propos de NAC, ce très long papier signé Joel Snyder, qui s'est lancé dans un test comparatif et fonctionnel de NAC Cicco et de TCG-TNC (produits PatchLink, Symantec, Juniper) toujours dans les colonnes de NetworkWorld. Avantage fonctionnel pour Cisco, espoirs d'ouvertures plus précis pour le camp TCG, mais dans les deux cas, ces architectures de sécurité voient leur complexité croitre avec celle du réseau, au risque de ne plus pouvoir être intelligemment administré. Le mot « endpoint security » revient à la mode, après avoir été abandonné au profit du « tout périmétrique ». Il risque cependant de coûter très cher à ceux qui s'y engouffrent trop tôt.