Utilisé à travers
les routeurs et bon nombre de logiciels pour administrer
les ressources d'un réseau, le protocole SNMP
(Simple Network Management Protocol) souffre de failles.
Des vulnérabilités assez sérieuses
pour exposer les
équipements
concernés à des attaques par déni
de service et à des instabilités diverses.
Rendue publique hier, cette alerte signée du
Cert (Computer
Emergency Response Team), l'un des principaux organismes
qui veille sur la sécurité informatique,
a créé une surprise certaine. Et pour
cause: SNMP est l'un des protocoles informatiques parmi
les plus répandus. Pour s'en convaincre, il suffit
de jeter un coup d'oeil à la liste des fournisseurs
(diffusée par le Cert) dont les matériels
sont concernés: près d'une cinquantaine.
Parmi eux, 3Com, Cisco, Compaq, Computer Associates,
HP, Microsoft, Lucent, Lotus, Nokia, Novell, Red Hat...
La liste est vertigineuse et explique pourquoi bon nombre
de journaux américains ont présenté
ces failles comme une menace pour la sécurité
du Net.
Les vulnérabilités en question seraient
produites par la façon dont SNMP gère
les messages d'erreur. Loin d'être anecdotique,
le problème doit toutefois être relativisé.
Tout d'abord, ces failles, identifiées par un
groupe de recherche de l'université finlandaise
de Oulu ne concernent "que" la version 1.0
de SNMP. Les versions plus récentes - nous en
sommes aujourd'hui à la 3.0 - combleraient bon
nombre des vulnérabilités. Autre raison
de relativiser, ces failles ont été découvertes
et communiquées au Cert l'été dernier.
Autrement dit, les fournisseurs travaillent depuis plusieurs
mois à mettre en oeuvre des correctifs.
C'est d'ailleurs ce travail qui aurait suscité
des fuites, lesquelles auraient décidé
le Cert à communiquer officiellement sur le sujet.
Probablement avec deux objectifs. Primo, encourager
les fournisseurs qui ne l'auraient pas encore fait à
produire les correctifs adéquats. Secundo, envoyer
aux administrateurs un message d'alerte clair pour accélérer
le déploiement des mises à jour. Autre
explication, que l'on a pu lire ici et là: prendre
de court les éventuels pirates qui auraient eu
accès aux informations.
|