CONTACTS PRESSE
Nathan Misner
Sr. Directrice des communications mondiales
Réseaux F5
(206) 272-7494
n.misner@F5.com
BELMONT, CALIFIE - 9 avril 2014 - Defense.Net, la seule entreprise conçue pour atténuer l'ampleur et la sophistication croissantes des attaques modernes par déni de service distribué (DDoS), a publié aujourd'hui des déclarations du fondateur de l'entreprise, Barrett Lyon, sur la vulnérabilité "Heartbleed" annoncée la nuit dernière qui a exposé plus d'un demi-million de sites Web et pourrait être l'un des bogues les plus catastrophiques de l'histoire de l'informatique sécurisée.
M. Lyon, dont la poursuite de pirates informatiques appartenant à la mafia russe a été relatée dans le best-seller Fatal System Error et qui a créé, il y a plus de dix ans, le secteur de l'atténuation des attaques DDoS, dont le chiffre d'affaires s'élève aujourd'hui à un milliard de dollars, a fait les observations suivantes :
- À moins qu'une implémentation d'OpenSSL n'ait été corrigée, n'importe qui peut visualiser à distance des morceaux de mémoire de 64K. En d'autres termes, tout ce qui a été laissé dans la mémoire du serveur vulnérable devient une donnée publique. Il peut s'agir de mots de passe, de comptes, de données personnelles et des clés privées SSL du serveur lui-même ! Pour vous donner une idée de l'ampleur du problème, ce logiciel est utilisé dans tous les domaines : sites web, réseaux privés virtuels, équipements de réseau spécialisés, communications par courrier électronique, applications pour téléphones, etc.
- Qu'il s'agisse ou non d'un bogue ou d'un ajout intentionnel n'est que pure spéculation à ce stade. Il est présent dans le logiciel depuis plus de deux ans et expose toute personne utilisant OpenSSL.
- Pour ne rien arranger, une fois que le bogue aura été corrigé à l'échelle mondiale, il est fort probable que tous les certificats SSL qui se trouvaient sur un serveur exposé devront être réémis, ce qui constituera un véritable cauchemar sur le plan de la logistique et de la sécurité. Le coût du remplacement d'un demi-million de certificats SSL pourrait s'élever à plusieurs centaines de millions de dollars et on ne sait pas exactement quand cela peut se faire ou se fera".
- Mais il existe une solution immédiate qui a déjà permis de protéger des millions de sites web contre Heartbleed. Un avantage secondaire de l'atténuation DDoS de Defense.Net est un réseau meilleur et plus protégé. En nettoyant les bots invalides et en supprimant le trafic d'attaque, le système d'atténuation DDoS de Defense.Net valide également les protocoles de réseau légitimes par rapport aux protocoles illégitimes. Pour ce faire, nous créons sur une couche de notre réseau une implémentation SSL/TLS propriétaire, et sur une autre couche de notre réseau, nous surveillons et bloquons le comportement du trafic qui tente d'exploiter le bogue Heartbleed".
De plus amples informations sont disponibles sur le blog de Lyon, qui sera mis à jour au fur et à mesure de la découverte de cette vulnérabilité.
Addendum: F5 Networks a acquis Defense.Net en mai 2014.
À propos de F5
F5 (NASDAQ: FFIV) rend les applications plus rapides, plus intelligentes et plus sûres pour les plus grandes entreprises, fournisseurs de services, gouvernements et marques grand public du monde. F5 fournit des solutions cloud et de sécurité qui permettent aux organisations d'adopter l'infrastructure applicative de leur choix sans sacrifier la vitesse et le contrôle. Pour plus d'informations, rendez-vous sur f5.com. Vous pouvez également suivre @f5networks sur Twitter ou nous rendre visite sur LinkedIn et Facebook pour plus d'informations sur F5, ses partenaires et ses technologies.
F5 est une marque commerciale ou une marque de service de F5 Networks, Inc., aux États-Unis et dans d'autres pays. Tous les autres noms de produits et d'entreprises mentionnés ici peuvent être des marques commerciales de leurs propriétaires respectifs.
# # #
Ce communiqué de presse peut contenir des déclarations prospectives relatives à des événements futurs ou à des performances financières futures qui impliquent des risques et des incertitudes. De telles déclarations peuvent être identifiées par une terminologie telle que « peut », « va », « devrait », « s'attend à », « planifie », « anticipe », « croit », « estime », « prédit », « potentiel » ou « continue », ou la forme négative de ces termes ou de termes comparables. Ces déclarations ne sont que des prédictions et les résultats réels pourraient différer sensiblement de ceux anticipés dans ces déclarations en fonction d'un certain nombre de facteurs, y compris ceux identifiés dans les documents déposés par la société auprès de la SEC.