VMware : des clients privés de correctifs de sécurité avec leurs licences perpétuelles
Certains clients de VMware, en possession de licences perpétuelles, n'ont pas l'autorisation d'accéder aux derniers correctifs de sécurité. Ce nouveau problème fait encore grincer des dents les clients de VMware, en plus de les laisser vulnérables à plusieurs failles de sécurité. Faisons le point.
Une promesse rompue ?
Depuis son rachat par Broadcom, VMware a apporté plusieurs modifications à sa stratégie commerciale, avec notamment le passage du modèle basé sur les licences perpétuelles vers un modèle par abonnement. À l'heure actuellement, les clients possédant des licences perpétuelles, mais n'ayant pas de contrat de support actif, se retrouvent dans une situation délicate : Broadcom refuse de renouveler ces contrats de support, à moins qu'ils ne basculent vers les nouvelles offres d'abonnement.
Sur le papier, ces licences perpétuelles devraient permettre un accès gratuit aux correctifs de sécurité, par l'intermédiaire du portail de support Broadcom. D'ailleurs, en avril 2024, le PDG de Broadcom, Hock Tan, avait promis un "accès gratuit aux correctifs de sécurité de type "zero-day" pour les versions prises en charge de vSphere", ce qui était plutôt rassurant pour les clients.
Or, la situation actuelle semble différente. Plusieurs utilisateurs rapportent être dans l'incapacité de télécharger les correctifs de sécurité pour les produits VMware pour lesquels ils détiennent une licence perpétuelle. D'après le site The Register, un porte-parole de VMware a répondu à cette problématique : "Étant donné que notre portail d'assistance exige la validation des droits des clients pour les correctifs logiciels, seuls les clients autorisés ont accès aux correctifs à l'heure actuelle."
Par ailleurs, un technicien du support de Broadcom évoque quant à lui une vérification des droits qui va engendrer un délai dans la mise à disposition des correctifs pour les clients dont les droits ont expiré. Autrement dit, l'expérience sera pénible pour les clients concernés.
Toujours d'après The Register, le porte-parole de VMware évoque un programme de publication des patchs distincts pour les clients sans support, mais avec des licences perpétuelles : "Un cycle de livraison de correctifs distinct sera également disponible pour les clients non autorisés et suivra à une date ultérieure.". En attendant, les correctifs ne sont pas disponibles... La situation stagne : certains clients sont privés de patchs depuis la fin du mois de mai 2025.
Un réel risque pour la sécurité des infrastructures VMware
Les infrastructures VMware sont régulièrement ciblées par les cybercriminels qui en ont fait une cible de choix. Cette situation, pouvant amener à une augmentation du nombre de serveurs VMware vulnérables, devraient encore un peu plus les attirer... D'ailleurs, un récent rapport des chercheurs de Google évoque des attaques de serveurs VMware par le groupe Scattered Spider.
Des correctifs de sécurité sont publiés fréquemment, et l'actualité récente en est la preuve : courant juillet 2025, VMware a publié des patchs de sécurité pour 4 failles de sécurité.
Récemment, un tribunal néerlandais a d'ailleurs forcé Broadcom à continuer de fournir un support logiciel pendant au moins deux ans à Rijkswaterstaat (RWS), une agence gouvernementale majeure aux Pays-Bas. Client de VMware depuis plus de 15 ans avec une licence perpétuelle, RWS avait refusé de passer à un abonnement qui aurait, selon l'agence, augmenté ses coûts de 85% pour disposer des mêmes produits... Cette décision de justice illustre la résistance qui s'organise face à cette stratégie commerciale agressive.
Généralement en informatique, lorsqu’on a un peu de bouteille, dès que l’on aperçoit Broadcom ou Oracle, il faut fuir.