Pour avoir commercialisé des logiciels de sécurité troués de vulnérabilités connues, Cisco se voit contraint de dédommager le gouvernement américain.

L’histoire n’est pas anodine et pourrait faire des émules. Cisco a trouvé un accord avec le gouvernement américain et déboursera 8,6 millions de dollars de dédommagement pour avoir livré des logiciels de sécurité dont il connaissait préalablement les vulnérabilités.

En 2011, les départements Homeland Security, les services secrets, l’armée, la Navy, les Marines et l’US Air Force avaient notamment engagés une procédure reprochant à Cisco d’avoir commercialisé des logiciels prétendant améliorer la sécurité alors qu’ils souffraient de vulnérabilités connues et constituant un risque de sécurité accru. Pour les agences gouvernementales, les logiciels acquis ne répondaient pas à leur besoin primaire : « améliorer la sécurité des agences qui les avaient acquis ».
En l’occurrence, les systèmes de vidéo-surveillance livrés aux agences dès 2010 contenaient des failles de sécurité découvertes et publiquement dévoilées depuis 2008. L’éditeur a même continué de commercialiser ces outils sans corriger les failles jusqu’en 2013.
Autrement dit, Cisco n’était pas accusé d’avoir commercialisé des logiciels vérolés, mais d’avoir vendu ses logiciels par de fausses affirmations tombant sous le coup du « False Claims Act ».

Le cas est un peu extrême et l’affaire plus compliquée qu’il n’y paraît. Mais à l’heure où nombre d’éditeurs commercialisent des solutions logicielles en mettant en avant leurs atouts « sécurité », ce contentieux résolu à l’amiable pourrait donner des idées à d’autres. Certes, en 2008, l’univers de la cybersécurité était bien différent d’aujourd’hui et les prises de conscience de l’importance du « Security By Design » sont bien plus récentes. On peut toujours espérer que le retentissement de cette affaire contribuera à encourager encore un peu plus les éditeurs et fabricants de logiciels et matériels technologiques à mesurer leur responsabilité professionnelle dans la protection des produits et services qu’ils commercialisent. Pour beaucoup d’observateurs, les acteurs du marché mettent parfois encore trop de temps à patcher leurs codes après la découverte de vulnérabilités et ne mettent pas suffisamment d’initiatives « Bug Bounty » en place.