Les mots de passe des utilisateurs de Cisco.com mal protégés

Décidément, Cisco traverse une mauvaise passe. Après ses démêlés avec un chercheur de Internet Security Systems (ISS) qui a dévoilé une faille de sécurité présente sur tous les routeurs du constructeur (voir édition du 2 août 2005), l’équipementier est confronté à des problèmes techniques en interne. « Cisco Systems a été informé qu’une vulnérabilité d’un outil de recherche sur Cisco.com pourrait dévoiler les mots de passe des utilisateurs enregistrés », admet Cisco dans un communiqué daté du 3 août 2005.

Le constructeur précise évidemment qu’il met tout en oeuvre pour corriger le problème y compris en… « effaçant [resetting] tous les mots de passe ». Une solution des plus radicale (mais efficace) que Cisco a finalement mis en oeuvre. Selon AdvancedIPpipeline, le constructeur a effectué cette manoeuvre en début de journée, hier. Il invite les utilisateurs à demander un nouvel accès aux services en ligne par e-mail ou, à défaut, par téléphone.

Quelques retards

Mais, toujours selon AdvancedIPpipeline, la procédure de recréation des mots de passe connaît elle aussi quelques défaillances. Selon le témoignage d’un client lassé d’attendre un hypothétique courrier électronique contenant le précieux sésame, il s’est entendu répondre au téléphone que « Cisco travaillait à résoudre le problème ». Un porte-parole de la société a confirmé à AdvancedIPpipeline l’existence de la vulnérabilité technique. Par mesure de sécurité, Cisco a préféré annuler toutes les données d’accès tout en reconnaissant que « les utilisateurs pourraient rencontrer quelques retards dans la réception des nouveaux mots de passe ». Une bonne façon de faire le ménage dans sa base d’utilisateurs.