Pour gérer vos consentements :

Barracuda : ma backdoor ne vient pas de la NSA

Suite à notre article « Espionnage de la NSA : les 8 leçons d’Edward Snowden », dans lequel la présence de backdoor dans des VPN et Firewall Barracuda est mentionnée, cette société nous écrit, estimant que cet article prête à « confusion ». Basé sur le rapport de la société Lexsi, notre article mentionnait la présence de backdoor ou vulnérabilités dans de nombreux produits de marques diverses (Juniper, Cisco, Dell, Huawei…). Dont Barracuda. Sans toutefois affirmer que la NSA aurait eu un rôle quelconque dans l’implantation de ces backdoor. « Nous n’avançons pas le fait que la NSA ait demandé l’implantation de ces portes dérobées », confirme Vincent Hinderer, un des deux auteurs de l’étude de Lexsi joint ce jour au téléphone.

Barracuda estime pourtant « que le lien direct fait par M. Gadiolet (l’autre auteur de l’étude, NDLR) entre cette faille temporaire et une association quelconque avec la NSA et une sur-interprétation de la réalité, qui n’a aucun fondement ». Et de préciser : « La vulnérabilité des accès à nos produits, découverte il y a plus d’un an, avait pour cause un problème de maintenance, qui a été immédiatement réparé. De plus, nos clients ont été immédiatement et de manière transparente, informés du souci et de la façon d’y remédier. Nous souhaitons appuyer sur le fait que les gammes Barracuda NG Firewall et Barracuda Firewall et leurs accès VPN n’ont même pas été concernées par ce souci, puisqu’elles sont basées sur une technologie différente. » Les solutions NG Firewall et VPN sont développées en Autriche, « sous la direction du Dr Klaus Gheri, vice-président du département réseau sécurité chez Barracuda Networks ». Certes. Mais le siège de Barracuda est lui situé en Californie. La société est donc directement soumise au droit américain.

Comptes utilisateurs oubliés

Suite à l’affaire RSA, la filiale sécurité de EMC soupçonnée d’avoir employé un algorithme de cryptage perméable à la demande de la NSA, de nombreuses interrogations entourent les sociétés américaines. Le Web fourmille de questions quant à l’origine de vulnérabilités découvertes dans certains produits. Selon Bloomberg, l’agence de Fort Meade était ainsi au courant de la faille Heartbleed environ deux ans avant sa divulgation, en avril dernier. Autrement dit, l’agence avait l’information en mains quasiment depuis l’introduction de la faille dans la bibliothèque OpenSSL, en janvier 2012.

Découverte en novembre 2012 par des chercheurs autrichiens, la vulnérabilité touchant Barracuda permettait des accès non autorisés à un certain nombre d’appliances de la marque (Barracuda Spam & Virus Firewall, Barracuda Web Filter, Barracuda Message Archiver, Barracuda SSL VPN, Barracuda Web Application Firewall version 7.6.4 et versions antérieures, ainsi que CudaTel). Liée à la présence de comptes utilisateurs inutiles et à leur accès distant, la vulnérabilité a été rapidement réparée, via deux correctifs proposés aux utilisateurs fin janvier et début février 2013. Barracuda avait alors parlé d’une lacune résultant d’un « défaut dans la configuration des firewall » concernés et de la « présence de comptes utilisateurs par défaut sur les unités ».

crédit photo © Pavel Ignatov – shutterstock

A lire aussi :

NSA : les matériels Cisco, Juniper et Huawei transformés en passoire

Recent Posts

Cambridge Analytica, le retour : Zuckerberg poursuivi aux États-Unis

Un procureur américain considère Mark Zuckerberg personnellement responsable des conséquences de l’affaire Cambridge Analytica sur…

2 jours ago

ITSM : EasyVista change avec Patrice Barbedette CEO

Patrice Barbedette (ex-Oracle) pilote la nouvelle phase de croissance d'EasyVista en Europe et à l'international,…

2 jours ago

Gestion de données : Databricks muscle sa direction juridique

Databricks a recruté sa responsable juridique et vice-présidente chez DocuSign pour soutenir l'exigence de conformité…

2 jours ago

Microsoft Build 2022 : beaucoup d’IA…et du Metavers au menu

A l’occasion de Build, sa conférence annuelle dédiée aux développeurs, Microsoft a fait la part…

2 jours ago

Taxe GAFA : pas avant 2023…au mieux

Très attendue, la réforme de taxation internationale des géants du numérique - dite taxe GAFA…

2 jours ago

DevOps : GitLab 15 parie gros sur l’observabilité

Avec la v15 de sa plateforme, GitLab ambitionne d'améliorer sa proposition de valeur dans la…

3 jours ago