Le bon, le méchant et le lâche

Cela aura été la saga de l'été. Elle aura ému tout le petit monde de la sécurité et bien au-delà, pourrait-on dire. L'histoire est simple et repose en partie la sempiternelle question de la divulgation ou non des failles de sécurité. En quelques heures, Michael Lynn, ex-chercheur de 24 ans de la X-Force d'ISS, est devenu célèbre dans le monde entier. Avec un courage largement salué par les experts en sécurité, il a fait face aux menaces et actions en justice lancées par Cisco Systems, qui a adopté une attitude et une politique de communication désastreuses, et par son ex-employeur, ISS. Ce dernier agissant sous la pression de Cisco...Comme Michael Lynn s'en est expliqué à notre confrère américain Wired, tout a commencé le 26 janvier 2005. Cisco annonce une vulnérabilité baptisée Multiple Crafted IPv6 Packets Cause Reload dans IOS, le système d'exploitation de ses équipements (routeurs, commutateurs, etc.). ISS, voulant être protégé et protéger ses clients, essaie d'obtenir plus de détails. Le géant de San Jose ne livrant pas les informations souhaitées, ISS demande à Michael Lynn s'il peut faire du reverse engineering (analyse du code sans avoir la source) pour découvrir lui-même la faille. Il la trouve, deux semaines après Cisco. ISS est alors en mesure de conseiller ses clients en fonction des analyses du jeune chercheur. Mais ce dernier réalise que le problème est bien plus grave. Il est possible d'exécuter un shellcode (typiquement un programme qui exploite divers types de débordement de la mémoire tampon) sur l'IOS.

Menteur !

Arrogant, Cisco rétorque que c'est faux, et traite ISS de menteur. Les responsables d'ISS demandent alors à Michael Lynn de poursuivre son travail d'investigation afin de prouver qu'ils ont raison. D'aucuns pressentent que cette affaire pourrait être pour Cisco à l'image de celle qu'a connue ISS par rapport au ver Witty (selon certaines rumeurs, ce ver, qui a attaqué de manière très ciblée les produits et clients d'ISS en mars 2004, proviendrait d'un de ses anciens employés...). Quoi qu'il en soit, en juin, un architecte IOS de Cisco se déplace chez ISS, à Atlanta, pour constater le travail du chercheur. La preuve est en face de lui.À la demande d'ISS, Michael Lynn doit ensuite assurer une présentation au congrès Black Hat 2005 de Las Vegas, la grand-messe des hackers, pirates et responsables informatiques et sécurité. Cisco fait alors pression sur les organisateurs et ISS se retourne contre son employé. Résultat : deux mille CD sont détruits et les vingt pages de la présentation du chercheur sont arrachées du livre édité pour le congrès. Ce dernier effectuera tout de même sa prestation après avoir donné sa démission à ISS.

Des actions en justice

Des actions légales contre certains sites web américains (comme Cryptome ou Info-warrior) qui ont publié la présentation ont également lieu. Mais, heureusement, d'autres, à l'instar de securitylab.ru, ne seront pas visés et permettront à chacun de juger ou non de la responsabilité de Michael Lynn. Les procédures de Cisco se sont d'ailleurs arrêtées après accord juridique. Bien que jeune chômeur, Michael Lynn ne devrait pas le rester trop longtemps tant il a été contacté par des organisations qui ont salué son courage et son esprit.