crédit photo © Pavel Ignatov - shutterstock
Suite à notre article « Espionnage de la NSA : les 8 leçons d’Edward Snowden », dans lequel la présence de backdoor dans des VPN et Firewall Barracuda est mentionnée, cette société nous écrit, estimant que cet article prête à « confusion ». Basé sur le rapport de la société Lexsi, notre article mentionnait la présence de backdoor ou vulnérabilités dans de nombreux produits de marques diverses (Juniper, Cisco, Dell, Huawei…). Dont Barracuda. Sans toutefois affirmer que la NSA aurait eu un rôle quelconque dans l’implantation de ces backdoor. « Nous n’avançons pas le fait que la NSA ait demandé l’implantation de ces portes dérobées », confirme Vincent Hinderer, un des deux auteurs de l’étude de Lexsi joint ce jour au téléphone.
Barracuda estime pourtant « que le lien direct fait par M. Gadiolet (l’autre auteur de l’étude, NDLR) entre cette faille temporaire et une association quelconque avec la NSA et une sur-interprétation de la réalité, qui n’a aucun fondement ». Et de préciser : « La vulnérabilité des accès à nos produits, découverte il y a plus d’un an, avait pour cause un problème de maintenance, qui a été immédiatement réparé. De plus, nos clients ont été immédiatement et de manière transparente, informés du souci et de la façon d’y remédier. Nous souhaitons appuyer sur le fait que les gammes Barracuda NG Firewall et Barracuda Firewall et leurs accès VPN n’ont même pas été concernées par ce souci, puisqu’elles sont basées sur une technologie différente. » Les solutions NG Firewall et VPN sont développées en Autriche, « sous la direction du Dr Klaus Gheri, vice-président du département réseau sécurité chez Barracuda Networks ». Certes. Mais le siège de Barracuda est lui situé en Californie. La société est donc directement soumise au droit américain.
Suite à l’affaire RSA, la filiale sécurité de EMC soupçonnée d’avoir employé un algorithme de cryptage perméable à la demande de la NSA, de nombreuses interrogations entourent les sociétés américaines. Le Web fourmille de questions quant à l’origine de vulnérabilités découvertes dans certains produits. Selon Bloomberg, l’agence de Fort Meade était ainsi au courant de la faille Heartbleed environ deux ans avant sa divulgation, en avril dernier. Autrement dit, l’agence avait l’information en mains quasiment depuis l’introduction de la faille dans la bibliothèque OpenSSL, en janvier 2012.
Découverte en novembre 2012 par des chercheurs autrichiens, la vulnérabilité touchant Barracuda permettait des accès non autorisés à un certain nombre d’appliances de la marque (Barracuda Spam & Virus Firewall, Barracuda Web Filter, Barracuda Message Archiver, Barracuda SSL VPN, Barracuda Web Application Firewall version 7.6.4 et versions antérieures, ainsi que CudaTel). Liée à la présence de comptes utilisateurs inutiles et à leur accès distant, la vulnérabilité a été rapidement réparée, via deux correctifs proposés aux utilisateurs fin janvier et début février 2013. Barracuda avait alors parlé d’une lacune résultant d’un « défaut dans la configuration des firewall » concernés et de la « présence de comptes utilisateurs par défaut sur les unités ».
A lire aussi :
NSA : les matériels Cisco, Juniper et Huawei transformés en passoire
Dans un avis consultatif, l'Autorité de la concurrence a identifié les risques concurrentiels liés à…
OpenAI signe un « partenariat de contenu stratégique » avec Time pour accéder au contenu…
Au lendemain du rejet de sa proposition de restructuration, David Layani annonce sa démission du…
Après un an, Hugging Face a revu les fondements de son leaderboard LLM. Quels en…
Mozilla commence à expérimenter divers LLM dans Firefox, en parallèle d'autres initiatives axées sur l'intégration…
VMware met VCF à jour pour y favoriser la migration des déploiements qui, sur le…