Il faut pas oublier que le talk DEFCON et les recherche associées se sont limitées à du matériel SOHO. On pourrait donc se contenter de comparer ce matériel à des équivalents occidentaux comme ce que peux faire par exemple un Netgear ou Linksys. Dans ce cas, c'est pas la joie : Netgear est un nid à bugs plus ou moins pourris et tout les modem/routeurs numericable sont backdoorés sans que ça semble être un enjeu national de cyberdéfense.
D'un autre côté, si on lit bien ne serait-ce que les slides, on voit qu'en dehors de ça, les chercheur ont mis en évidence un ensemble de mauvaises pratiques d'un point de vue responsible disclosure mais surtout code (mauvaise approche/compréhension pour les session IDs, recodage de briques standard pour réinventer la roue en version carrée) qui sont bien plus inquiétantes et concernent l'ensemble des gammes. De toute manière, si des gens utilisent *vraiment* du matériel Huawei sur leur réseau opérateur et qu'ils ont une politique de sécurité avec un minimum de cohérence, ils les ont déjà audité en interne et en externe. Ca pourrait être sympa de partager les résultats de tels audits. Matthieu 2012/8/2 Fabien V. <list-fr...@beufa.net> > > > +1, ceux qui croient à travers une démo à la DEFCON et le FUD que > cela crée que Huawei est plus crade que les autres se trompent sur la > conclusion la plus intéressante de cette préz' : Huawei n'a pas de > process de remontée et de correction de vulns à la manière de Microsoft > (avec leur avancée importante sur le MAPP ces dernières années) ou Cisco > avec son système d'alerte. Question: y a-t-il ca chez Alcatel, Juniper > ou Apple ? (je pose la question sérieusement pour les 2 premiers, pour > le dernier c'est presque trolldi). Et que dire des IPS ou des WAFs qui > se font déborder tous les jours ? > > Quand Eugène K dit qu'Apple c'est > pourri, c'est pas le produit qu'il critiquait, mais le manque de prise > en compte des failles dans un vrai process organisé et structuré. > > Donc > les "autres", comme Huawei, préfèrent jouer à la politique de > l'autruche, c'est bien ce qui a été mis en avant (si on tient pas compte > des 300 articles de FUD par heure apparus sur la toile). Le problème est > que l'autruche ça a toujours les fesses à l'air, et quand 2 gars qui ont > décidé de s'y attaquer titille ce qu'il faut, la tête sort vite du sol > ;) > > PS : on fait beaucoup moins de cas (en nombre d'articles bidons) de > F5 qui laissent trainer des clés SSH partout dans les TMM/SCCP... Mais > eux encore une fois, on eu une réaction structurée .... Celui qui se > fait péter avec ça lors d'un audit est pleinement responsable vu la > comm' bien gérée qu'il y a sur cette "faille" bien crados elle aussi ! > > > --- > Fabien VINCENT > ------------------------------- > Twitter : > beufanet > > Le 2012-08-02 22:13, 3pr0m.pt a écrit : > > > Alcatel ? J'ai pas > pas compris.... Sous OMCR, meme les BTS ou BCS T'as aucun interface web, > tout est codé par des roumains et indiens... C'est pas franchement > mieux, mais au moins c'est pas chinois et c'est quand même plus stable > :) > > > > Sent from my iPhone > > > > On 2 Aug 2012, at 20:19, Jérôme Nicolle > <jer...@ceriz.fr> wrote: > > > >> Le 01/08/2012 14:40, Adrien Pestel a > écrit : > >> > >>> Show must go on : > > http://www.computerworld.com/s/article/9229785/Hackers_reveal_critical_vulnerabilities_in_Huawei_routers_at_Defcon > [1] > >> Voilà ! La c'est clair, net et sans bavure : ça prouve qu'on > doit se méfier de ce matos car, au moins sur cette gamme, les > developpeurs d'Huawei bossent comme des porcs. Beaucoup plus recevable > que les attaques en l'air des lobbyistes d'Alcatel. Question maintenant > : est ce que Huawei va corriger le tir, et sous quel délai ? -- Jérôme > Nicolle 06 19 31 27 14 --------------------------- Liste de diffusion du > FRnOG http://www.frnog.org/ [2] > > > > --------------------------- > > Liste > de diffusion du FRnOG > > http://www.frnog.org/ > > > Links: > ------ > [1] > > http://www.computerworld.com/s/article/9229785/Hackers_reveal_critical_vulnerabilities_in_Huawei_routers_at_Defcon > [2] > http://www.frnog.org/ > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
