L'affaire de la faille de sécurité dans le le logiciel Video Surveillance Manager (VSM) de Cisco va coûter cher au fournisseur américain. Présentant une vulnérabilité qui aurait pu permettre à des pirates d’entrer dans les systèmes des agences fédérales, régionales et locales, ce logiciel a connu un arrêt commercial en 2014. Selon les termes de l’accord, Cisco paiera 2,6 millions de dollars au gouvernement fédéral et jusqu'à 6 millions de dollars à 15 États - Californie, Delaware, Floride, Hawaii, Illinois, Indiana, Minnesota, Nevada, New Jersey, Nouveau Mexique, New York, Caroline du Nord, Tennessee, Massachusetts et Virginie - mais aussi à des villes et autres entités ayant acheté son produit.
Le logiciel appelé Video Surveillance Manager (VSM), vendu entre 2008 et 2014 par Cisco, a été créé par Broadware, une entreprise rachetée par l’équipementier en 2007 pour sa technologie de surveillance vidéo. « Broadware a intentionnellement utilisé une architecture ouverte pour permettre l’implementation d'applications et de solutions de sécurité personnalisées. En raison de l'architecture ouverte, les flux vidéo pourraient théoriquement avoir fait l'objet d'un piratage, bien qu'il n'y ait aucune preuve que la sécurité d'un client ait jamais été compromise », a écrit Mark Chandler, vice-président exécutif, chef du service juridique et directeur juridique de Cisco.
Un lanceur d'alerte à l'origine de l'affaire
« En 2009, nous avons publié un Guide des meilleures pratiques soulignant que les utilisateurs devaient porter une attention particulière à la mise en place des fonctions de sécurité en plus des logiciels qu'ils utilisaient sous licence. Et en juillet 2013, nous avons conseillé aux clients de passer à une nouvelle version du logiciel qui résolvait les questions de sécurité. Toutes les ventes des anciennes versions du logiciel ont pris fin en septembre 2014 ». En 2013, Cisco a déclaré à propos des vulnérabilités et du correctif résolvant les problèmes de sécurité du logiciel Video Surveillance Manager (VSM) : « il y a de multiples vulnérabilités de sécurité dans les versions de Cisco VSM antérieures à la 7.0.0, pouvant permettre à un attaquant d'obtenir des privilèges d’administration complets sur le système ».
Tout a commencé par une plainte déposée en 2011 par un lanceur d’alerte accusant Cisco « d’avoir vendu et incité d'autres personnes à vendre à des organismes fédéraux et à des entités gouvernementales et locales un système de vidéosurveillance en sachant qu'il présentait des lacunes de sécurité dangereuses, non révélées et inadmissibles ». L’action en justice a été intentée par le cabinet d'avocats Phillips & Cohen au nom de James Glenn, ancien consultant en sécurité d'une société danoise partenaire de Cisco, devant le tribunal fédéral de district de Buffalo, NY, en 2011, pour violation d'une loi fédérale appelée False Claims Act et de lois étatiques similaires. Un autre cabinet d'avocats, Constantine Cannon LLP, était co-conseil dans cette affaire. Les avocats affirment que c'est la première fois qu'une entreprise est condamnée en violation du False Claims Act.
Des ventes réalisées en connaissance de cause
L’entreprise danoise a licencié le lanceur d’alerte James Glenn en 2009 après qu'il eût soumis un rapport détaillé à Cisco identifiant ce qu'il croyait être des failles de sécurité. « Le lanceur d’alerte a soumis plusieurs rapports détaillés à Cisco dans lesquels il prétendait que toute personne ayant une maîtrise modérée de la sécurité du réseau pourrait exploiter ce logiciel pour obtenir un accès non autorisé aux données stockées, contourner les systèmes de sécurité physique et obtenir un accès d’administration au réseau entier d'un organisme gouvernemental, et cela, sans être détecté. Malgré les avertissements internes répétés à propos des failles de VSM, Cisco aurait continué à vendre le logiciel vulnérable à des infrastructures pouvant constituer des cibles de premier plan », selon le cabinet Constantine Cannon LLP.
« J'étais très concerné par l’éventualité que quelqu'un puisse mettre en danger la sécurité publique en piratant les systèmes gouvernementaux », a déclaré James Glenn dans un communiqué. « J'ai intenté un procès pour sensibiliser le gouvernement et pour qu’il soit résolu. Je suis heureux que Cisco ait remplacé le produit concerné et que l'affaire ait été réglée », a-t-il ajouté. « Aujourd’hui, les produits de cybersécurité représentent une part importante des dépenses gouvernementales, et il est essentiel que ces produits répondent à de strictes exigences réglementaires et contractuelles », a déclaré dans un communiqué Claire Sylvia, avocate du lanceur d’alerte et associée chez Phillips & Cohen. « L'industrie de la technologie doit savoir que des lanceurs d’alerte sont là pour dénoncer des manquements quand de graves problèmes sont ignorés, et que des lois les encouragent et les protègent ».