Le fabricant d'équipements réseau Juniper émet un avis de sécurité suite à l'une de ses découvertes. Pour des pare-feu d'entreprise de sa gamme NetScreen, qui sont dotés de fonctionnalités VPN, Juniper a trouvé du code qualifié de non autorisé dans le système d'exploitation ScreenOS. Les versions concernées vont de ScreenOS 6.2.0r15 à 6.2.0r18, et 6.3.0r12 à 6.3.0r20. Potentiellement, cela remonte à jusqu'à 2008 !
Ce code non autorisé a été identifié lors d'un récent audit interne. Ce sont en fait deux vulnérabilités. La première peut permettre un accès distant en mode administrateur au matériel via une connexion SSH ou telnet. L'exploitation de la deuxième permet à un attaquant expérimenté de surveiller et déchiffrer du trafic VPN.
Juniper n'a pas connaissance d'une exploitation des vulnérabilités. Dans le même temps, l'équipementier précise qu'il n'y a aucun moyen de détecter si le deuxième problème de sécurité a été exploité. Des correctifs sont disponibles.
Si Juniper fait preuve de transparence, le voile est loin d'être totalement levé. La présence du code non autorisé n'est pas expliquée. Faut-il comprendre une erreur de code ou de la malveillance de la part d'un développeur, voire une backdoor avec à la baguette une agence gouvernementale comme la NSA.
Ce dernier point n'est pas évoqué de manière anodine par plusieurs médias. Il fait référence à un article de fin 2013 de Der Spiegel à propos d'outils utilisés par la NSA pour pénétrer des équipements comme NetScreen de Juniper. Mais d'autres groupes auraient aussi intéressé l'agence américaine tels que Cisco et Huawei.