Légère zone dépressionnaire sur le front Cisco
Un coup de chapeau, un grand cri d'alarme. Le coup de chapeau est donné par Hugo Vazquez Carames à l'attention du Response Team de Cisco, lequel a réagi avec une promptitude remarquable dès l'annonce du bug affectant le serveur httpd d'administration. L'inventeur du hack d'injection fait même remarquer que Cisco n'a pas la rancune tenace et le crédite ouvertement au fil de son tout dernier bulletin d'alertes.
Lynn renaude *
Le cri d'alarme est poussé par le journal Wired, qui interview Michael Lynn. Lynn, c'était cet ancien chercheur d'ISS qui, lors de la dernière Black Hat Conference, s'était lancé dans un exposé décrivant les probabilités d'exploitation d'une faille affectant les routeurs Cisco. L'affaire fit grand bruit à l'époque, puisqu'ISS, après avoir demandé à son employé d'effectuer ces recherches et d'en communiquer les résultats à l'occasion de cette manifestation, s'était rétracté in extremis et avait poursuivi ledit employé en justice.
Toujours contraint au secret, Lynn révèle pourtant au magazine Wired que ce n'est pas une, mais quinze failles qui ont été découvertes par ISS. Là où l'histoire devient intéressante, c'est lorsque les responsables de Cisco avouent ne rien savoir des dites failles. Atlanta conserve donc, en secret, un thésaurus de points d'intrusion dont l'équipementier même ne soupçonne l'existence. Il faut savoir qu'ISS travaille très étroitement avec les principales « agences à trois lettres » de l'Administration Fédérale. Lynn, sans même divulguer la moindre donnée technique sur la nature des vulnérabilités, vient ainsi d'envoyer un redoutable coup de pied de l'âne à Chris Klaus, le patron de la société géorgienne, en révélant des faits qui relèvent généralement du non dit et du tacitement admis.
La palme de la mauvaise foi et de l'uppercut vicieux revient toutefois à Chris Wysopal « an independent security consultant who previously directed research and development for Atstake and Symantec, said it was a mystery why ISS would sit on such critical information ». Pan sur le bec diraient nos éminents confrères du Canard. Rappelons que Wysopal, ex-membre du l0pht Heavy Industries, a également limogé, lorsqu'il était patron exécutif du At Stake, l'un de ses proches collaborateurs pour « liberté de langage et délit de communication non autorisée ». La victime se nommait Dan Geer. Wysopal, au même instant, se targuait d'avoir l'écoute du Sénat, publiait des analyses de performances en faveur de SQL Server (sponsorisées par Microsoft) et collaborait régulièrement avec ces fameuses « agences à trois lettres ». Il est donc étonnant qu'il puisse trouver étonnante l'attitude d'ISS. C'est tout de même terrible, ces crises d'amnésie chroniques.
*Ndlc : note de la correctrice. Après avoir commis des à-peu-près douteux faisant référence aux romans de Van Vogt, le voilà qui ose bien pire encore. La Rédaction toute entière condamne ces excès de facilité.
