Vulnérabilités : FireEye au cœur d’une controverse

C’est une vaste polémique qu’a déclenché FireEye, probablement sans s’y attendre. L’équipementier a en effet eu recours à ses avocats, et à une injonction, pour empêcher que certains détails d’une importante vulnérabilité affectant ses produits ne soient présentés lors de la conférence 44Con, à Londres, la semaine dernière. Felix Wilhelm, employé d’ERNW, l’entreprise allemande à l’origine des découvertes, prévoyait d’exposer le fruit de ses travaux.

Ces vulnérabilités permettent notamment l’exécution de code à distance sur les appliances de FireEye en adressant un e-mail contenant une pièce jointe ZIP malveillante à un membre d’une organisation équipée par le spécialiste. Un correctif est disponible depuis le 8 septembre. ERNW a publié un bulletin d’information sur ces vulnérabilités le lendemain.

Dans un billet de blog, Enno Ray, fondateur d’ERNW, explique que FireEye a été prévenu de ces vulnérabilités début avril – mais qu’il a fallu quelques semaines pour « établir un canal de communication » - avant qu’une conférence téléphonique ne soit organisée fin juin pour l’Allemand présente son projet de rapport, à publier à l’issu d’un délai classique de 90 jours après notification. Mais pour FireEye, « ce document contenait trop de détails techniques sur le fonctionnement interne » de ses produits. Qu’à cela ne tienne, Enno Ray assure s’être conformé aux demandes de correction de FireEye, ainsi qu’à celle de délais supplémentaires. Début août, une rencontre à Las Vegas, à l’occasion de la conférence Black Hat, donnait l’impression à ERNW que « un consensus préliminaire avait été atteint durant cette réunion ». Que nenni : c’est le lendemain que l’entreprise a reçu une lettre des avocats de FireEye, « formulant plusieurs accusations et demandes, principalement dans le domaine de la protection de la propriété intellectuelle » et affirmant que non, aucun consensus n’avait été trouvé au préalable – « apparemment, nous vivions sur une autre planète », estime Enno Ray.

ERNW a demandé un délai, mais FireEye a obtenu une injonction à l’encontre de l’Allemand un peu avant la mi-août.

Felix Wilhelm a finalement organisé son intervention à 44Con autour d’une version amendée de sa présentation. FireEye assure de son côté n’avoir pas voulu empêcher les discussions autour des vulnérabilités trouvées dans ses outils et avoir voulu simplement protéger sa propriété intellectuelle : « durant l’examen [du rapport d’ERNW], nous avons souligné que le rapport contenait des secrets commerciaux et de la propriété intellectuelle de FireEye et avons demandé à ce qu’ils soient retirés. FireEye a formulé plusieurs requêtes pour qu’ERNW retire les informations sensibles du rapport, mais ERNW a continué de produire des brouillons les contenant ».