Cisco invité à suivre l'exemple de Microsoft

Nicolas Aguila
Par Nicolas Aguila | Publié le 08/08/2005 à 15:43
Source : Présence PC | Mots-clés : ,
Syndication : Ajouter à votre page d'accueil Netvibes Ajouter à votre page d'accueil Google Windows Live Alerts
Infos-du-Net.comDepuis la conférence Black Hat de Las Vegas sur la sécurité, Cisco voit noir, et pas seulement les chapeaux.

En effet, depuis la mise au grand jour d'une faille critique dans les routeurs de la société par Michaël Lynn, l'équipementier croule sous les critiques et les mauvais regards après sa tentative flagrante d'étouffer l'histoire, d'abord en tentant de faire annuler le discours de Lynn, ensuite en portant plainte contre lui.

Pourtant, un correctif permettant de combler cette faille critique était déjà disponible, et ce depuis avril 2005.
Seulement les routeurs s'étant équipé de cette mise à jour étaient très rares, ce qui a conduit les experts à conclure que la communication de Cisco en matière de failles et de correctifs de sécurité n'était pas suffisante, et à raison, les failles étant tellement rares dans les systèmes du constructeur que le budget investi dans la communication à ce propos devait être en conséquence.

Ironie du sort donc, un des acteurs les plus populaire de la sécurité sur internet s'est donc récemment vu conseiller par des experts en sécurité informatique de suivre, afin de remédier à ce problème, le modèle de communication d'un expert dans le domaine de sortie et de diffusion de patchs, à savoir Microsoft.

En effet, les mises à jour de sécurité sur les systèmes Microsoft s'effectuant de la manière la plus simple possible, les experts regrettent les manoeuvres laborieuses qu'il faut souvent effectuer pour en faire de même sur un produit Cisco.
"mettre à jour un routeur ou du matériel réseau nécessite généralement bien plus de travail qu'un poste de bureau ou un serveur" affirme Neal Gemassmer, vice-président Asie-Pacifique de Patchlink, qui estime qu'en calquant l'infrastructure utilisée par Microsoft pour son Windows Update, des sociétés comme Cisco pourraient mettre au point un système de génération de rapport de vulnérabilités et ainsi faciliter les mises à jour.

"Ce serait bien d'avoir quelque chose de similaire à ce qu'a fait Microsoft. Ils sont plus ouverts quand des vulnérabilités sont découvertes, ils ont des bases de données de contrôle et une méthode simplifiée pour fournir les mises à jour. Microsoft a très bien su rationaliser le processus", continue Gemassmer.

"Ils pourraient tirer les enseignements de l'expérience de Microsoft. Je ne pense pas que quiconque peut dire que la firme de Redmond a vraiment résolu tous les problèmes, mais ils s'y emploient" a ajouté Bjarne Munch, analyste chez Gartner, qui estime que Cisco devrait faire des "efforts concertés" quant à la création d'une infrastructure intégrée et robuste.

Il ne manque cependant pas de rappeller que la faute revient également aux utilisateurs, qui ne se tiennent souvent pas régulièrement au courant des mises à jour disponibles, et ajoute qu'il ne faut pas seulement blâmer les éditeurs.
"bon nombre d'entreprises devraient également regarder ce qui se passe chez elles, parce qu'elles n'ont guère prêté attention à la gestion des correctifs. Vous ne pouvez pas dire que tout est de la faute de Cisco ou Microsoft. Certaines entreprises n'ont même pas encore mis en place leurs processus, et ça, c'est un problème bien plus grave".

Source : ZDNet
Commentaires | Imprimer | Envoyer à un ami
Discussions en cours sur le forum

Liens commerciaux

Commentaires

bluedylc 08/08/2005 15:55
Masquer
-0+

Comme réécriture des news de Zdnet, c'est plutot bien écrit, assez habile, etc...

Mais est-ce vraiment intéressant ?

Je veux dire, ca ne m'apporte rien de plus que la lecture de la news sur Zdnet, que j'avais déja lue. Bien sur si on ne l'avait pas lue, on est plus au courant, mais pourquoi alors ne pas demander a tous les membres de idn de lire les news de zdnet, au lieu de venir les reposter ici ? Je pense que cela permettrait un gain de temps pour tout le monde, meme si bien sur on ne pourrait pas profiter des discussions qui suivent les news sur idn.

szdavid 08/08/2005 16:32
Masquer
-0+

Est-ce un commentaire utile ?
Si tu veux, tu peux lancer un sujet sur le forum, envoyer un mail à son auteur ; mais sans rapport direct avec l'article, ça va à nouveau partir en sucette et j'en ai un peu marre que les commentaires des news ne soient pas liés au contecontenu de celles ci...

[Mode ras le bol ON] NON MAIS ![Mode ras le bol off]

szdavid 08/08/2005 16:36
Masquer
-0+

La liste des correctifs est elle facilement disponibles, pour cisco ?
Le plus simple (et pourtant tellement basique) serait de faire une newsletter "mise à jour importante" ; ainsi, ils n'auraient pas à s'embêter à changer leur système de mise à jour dans l'immédiat (même si cela serait rapidement nécessaire, je pense) mais au moins de se protéger et de clairement dire "on sait qu'il y a un problème, on vous le fait savoir"

ou du moins, même si pas de mailing list, au moins une page de référence simple d'accès listant les dernières mises à jour ?

aurelie@IDN 08/08/2005 16:39
Masquer
-0+

C'était pas plus simple d'envoyer un MP à l'auteur je suppose...

Bref...

Effectivement, s'il faut passer 2h à faire une mise à jour, ça doit pas être très motivant pour y faire. Pourtant il y en a peu... Par contre je trouve le système de windows update trop lourd pour ce genre de choses. Peut-être juste une impression.

bluedylc 08/08/2005 16:45
Masquer
-0+

excusez moi, je n'ai pas pensé a envoyer un MP a l'auteur, et ce pour la raison suivante : je pense que cette remarque concerne autant l'auteur que la communauté de infos-du-net, que les admins (vu que je parle des news officielles du site).

Sinon, pour l'histoire de Cisco, je dirais que je ne crois pas a leur "c'est plus dur d'upgrader un routeur". Il suffit de regarder la freebox pour etre convaincu que c'est tout as fait faisable.

aurelie@IDN 08/08/2005 16:52
Masquer
-0+

Citation :excusez moi, je n'ai pas pensé a envoyer un MP a l'auteur, et ce pour la raison suivante : je pense que cette remarque concerne autant l'auteur que la communauté de infos-du-net, que les admins (vu que je parle des news officielles du site).


En attendant c'était un Hors-Sujet...

szdavid 08/08/2005 16:58
Masquer
-0+

freebox=cisco ?
(je ne sais pas du tout, je suis sous livebox ; mais ça me surprend un peu...)

En fait, la difficulté n'est pas la même pour toutes les marques, si tu dis "regarder comment j'arrive à mettre ma freebopx à jour, c'est aussi parce que free et sagem (ou inventel ou ce que vous voulez) met à disposition les moyens de le faire (avec ma LB inventel : deux clics et c'est fait, quand ce n'est pas fait automatiquement, ce qui est le plus fréquent) ; c'est justement le reproche fait à cisco : de ne pas permettre quelque chose d'aussi simple :-(
(et de ne pas communiquer ; tu ne vas pas tous les jours faire une mise à jour fastidieuse si au final, c'est pour du flan alors, à force, tu arrêtes et quand tu devrais en faire une, tu ne la fais pas).

bluedylc 08/08/2005 17:14
Masquer
-0+

non, je voulais dire que la freebox etait equipee d'un dispositif de mise a jour automatique.

(aurelie > je suis assez désemparé car je ne sais pas où je peux parler de ca. Je suis assez paresseux donc je pense que je vais laisser tomber cette remarque. Et si ca ne vous gene pas, je posterais quelques news a l'occasion.)

aurelie@IDN 08/08/2005 17:16
Masquer
-0+

Citation :Et si ca ne vous gene pas, je posterais quelques news a l'occasion.


pas de problème mais fais gaffe de respecter les petites règles affichées sur le formulaire et de mettre ta(tes) source(s) à la fin :-)

Ce sujet ne peut plus être commenté.

Liens sponsorisés