Symantec publie un avertissement à propos d'une faille qui affecte son logiciel de sauvegarde en réseau Backup Exec.


Que deviennent les leçons du passé '
Depuis la propagation fulgurante du ver Blaster, en 2003, on aurait pu penser que les éditeurs de solutions de sauvegarde en réseau avaient pris leurs précautions. C'était théoriquement le cas de Symantec avec son Backup Exec, dont les versions 9.1 et 9.2 sont pourtant affectées par une vulnérabilité sérieuse. En cause, la procédure d'appel distant (en anglais, Remote Procedure Call, ou RPC), par le biais de laquelle un pirate pourrait envoyer à Backup Exec un programme malicieux, qui serait alors relayé sur l'ensemble du réseau que l'application de Symantec à la charge de sauvegarder. Les conséquences les plus à craindre sont notamment des dénis-de-service (Denial of Service, ou DoS, en anglais), ce qui, dans le cas d'un réseau d'entreprise, est presque aussi ennuyeux que de voir des données sensibles affichées en place publique. Pour mémoire, la RPC sert entre autres choses à faire exécuter sur plusieurs PC d'un même réseau un certain nombre de tâches depuis le poste de l'administrateur.


Dix sur dix...
C'est Ron Gula, chercheur en sécurité chez Tenable Network Security, qui a découvert cette faille, dont le bulletin DeepSight Threat Management de Symantec s'est ensuite fait l'écho, lui adjugeant un note de 10 sur 10 en matière de dangerosité. Tout est dit. L'an passé à la même époque, Symantec avait déjà corrigé une vulnérabilité affectant ce même logiciel, lorsqu'il était associé à Windows Server et NetWare. C'est encore la cas aujourd'hui. Les entreprises clientes de Symantec devraient recevoir rapidement un avis les enjoignant de redoubler de prudence, avant la mise en place d'un correctif. Celles qui le souhaitent pourront en outre basculer vers la version 10 de Backup Exec, apparemment épargnée par tous ces soucis.

On doit sourire, chez Microsoft, vivement critiqué ces derniers temps par Symantec à propos du niveau de sécurité de Windows Vista...