Voyagerix - Fotolia
Juniper prépare un grand ménage dans le code de ScreenOS
Après plusieurs semaines de questions autour des vulnérabilités découvertes dans le code source de ses appliances NetScreen, l’équipementier entame une opération de nettoyage en profondeur.
Enfin est-on tenté de dire. Bob Worrall, vice-président sénior et DSI de Juniper, a indiqué en fin de semaine dernière que l’équipementier se prépare à une vaste opération de nettoyage du code de ScreenOS.
Fin décembre, Bob Worrall avait déjà pris la plume pour révéler la découverte, à l’occasion « d’une récente revue de code interne », de code « non autorisé » dans ScreenOS permettant, pour une première vulnérabilité, d’obtenir un accès administrateur aux matériels NetScreen, et pour l’autre, de déchiffrer les connexions VPN.
Mais durant les dernières semaines de l’année, plusieurs chercheurs se sont parallèlement penché sur ces vulnérabilités pour le moins sensibles. Et de relever une mise en œuvre pour le moins discutable de deux algorithmes de génération de nombres aléatoires. Le premier n’est autre que le Dual_EC_DRBG, connu pour avoir été affaibli par la NSA. Le second, X9.31, de l’Ansi, est mis en œuvre d’une manière qui peut donner l’impression qu’il comble les faiblesses du premier. Mais en réalité, selon Willem Pinckaers, c’est tout sauf le cas.
Ces révélations n’ont pas manqué de susciter de nombreuses interrogations sur les origines de ces choix techniques et de leurs altérations à travers le temps. Pour lever toute forme de doute, Bob Worrall indique avoir fait appel à une « organisation de la sécurité respectée » – sans hélas donner de nom – pour l’assister dans l’examen du code source de ScreenOS, mais également de Junos OS, pour ne pas trouver d’autre code « non autorisé » dans le premier, ni la moindre trace de tel code dans le second.
Surtout, le DSI de Juniper indique que les deux algorithmes de génération de nombres aléatoires utilisés au sein de ScreenOS 6.3 seront bientôt remplacés par « la technologie de génération de nombres aléatoires actuellement utilisée par nos produits Junos OS ». Et ce, d’ici la fin du premier semestre.
Pour le reste, Bob Worrall assure que l’équipementier continue de chercher l’origine du « code non autorisé ».