Le mois dernier, des tests, réalisés par le NSS Labs et faisant état de problèmes de sécurité, mettaient sur la sellette cinq vendeurs de firewalls haut de gamme. Depuis, quatre d'entre eux ont apporté des correctifs à leurs produits, y compris ceux qui, à l'époque, avaient contesté la validité des résultats. Le NSS Labs, dirigé par Rick Moy (en photo), a validé les modifications apportées par les vendeurs pour remédier à des failles dont ils ont d'abord nié l'existence. Un communiqué de l'organisme indépendant, leader mondial dans la certification et le test de produits de sécurité, a ainsi confirmé que Fortinet, SonicWALL et Palo Alto Networks avaient désormais mis leurs produits à jour pour résoudre un problème de « TCP split handshake » révélé le 12 avril et que Juniper Networks avait résolu le problème en modifiant un réglage par défaut dans son produit. Seul Cisco n'a pas encore livré de patch, mais recommande une solution de contournement par le biais des listes relatives au contrôle d'accès. Celle-ci permet d'éviter le problème dans certains cas mais pas toujours. La faille en question, dite « TCP split handshake », permet à un attaquant disposant d'un serveur illicite d'utiliser une séquence d'initialisation TCP spéciale pour forcer le firewall à ouvrir une session TCP vers le client.

Contestation des sociétés incriminées

Lors de la publication de ses tests, le NSS Labs avait déclenché la controverse. L'un des vendeurs, Fortinet, contestait en effet l'importance de la faille en faisant valoir que le problème pouvait être évité en activant deux protections distinctes : le système de prévention d'intrusion (IPS) et les modules de sécurité antivirus. « Le NSS Labs affirme, à tort, que le produit de Fortinet ne protège actuellement pas ses clients contre le TCP split handshake », avait déclaré à l'époque le vice-président du marketing produit de Fortinet, Patrick Bedwell. « Nous sommes convaincus que la protection intégrée est la meilleure approche possible pour bloquer l'intrusion, parce que les clients qui utilisent un IPS actif avec leur pare-feu sont les mieux protégés pour faire face à différents types de menaces », avait alors déclaré le vice-président. Les résultats des tests publiés par le NSS Labs ont également contrarié SonicWALL. « L'affirmation selon laquelle une vulnérabilité ouvrirait la porte à une attaque de type TCP split handshake n'est pas recevable. En effet, notre SonicOS protège contre cette faille depuis la version 3.0 de SonicOS, disponible depuis 2004. Or, malgré notre insistance, le NSS a choisi de ne pas activer cette protection pour effectuer ses tests et obtenir des résultats corrects », a déclaré Jock Breitwieser, responsable des relations publiques de SonicWALL.

Des tests non sponsorisés

Même si aucun vendeur n'a nié le fait qu'un correctif était nécessaire, leur décision de livrer une mise à jour rapide a finalement calmé le jeu. « La qualité des produits est un enjeu important dans le secteur de la sécurité. Notre travail rigoureux et nos tests, non sponsorisés, ont permis de révéler ces éléments critiques », a déclaré le patron du NSS Labs, Rick Moy. « Le fait que la plupart des vendeurs aient finalement décidé de régler ce problème valide notre travail, en dépit de la réponse, très marketing, d'un des fournisseurs lors de la publication des résultats. » L'affaire pourrait bien marquer un tournant important pour l'industrie de la sécurité. Dans le passé, les vendeurs ont été souvent critiqués pour avoir accordé un crédit excessif à des tests qui n'étaient pas suffisamment indépendants pour révéler des problèmes de sécurité importants aux entreprises qui achetaient les produits. Les tests du NSS Labs sur les pare-feux ont été parrainés par des entreprises de services financiers, dont le nom n'a pas été communiqué, et non par des vendeurs.

Un seul pare-feu non affecté

Les cinq pare-feux affectés par la faille « TCP split handshake » étaient les séries Fortigate 3950 de Fortinet, le NSA E8500 de SonicWALL, le PA-4020 de Palo Alto Networks, le SRX5800 de Juniper et le ASA 5585-40 de Cisco. Parmi les produits testés, seul le Power-1 11065 de Check Point n'était pas affecté par la faille. Des informations concernant les correctifs sont disponibles auprès des supports techniques Web de chaque fournisseur. De son côté, le NSS Labs a conseillé aux vendeurs de tester avec soin les correctifs avant de les mettre à la disposition des clients. « L'activation de cette protection peut avoir un impact négatif sur les performances et empêcher des applications de fonctionner si elles n'utilisent pas le TCP correctement », a précisé le NSS Labs dans son avis.

Illustration : Rick Moy, président et CEO de NSS Labs (crédit : D.R.)