Logitech aime visiblement jouer avec les nerfs de ses clients. Dernier exemple en date : le fabricant a déployé une mise à jour de sécurité fermant l'accès à une API non documentée, mais largement utilisée. Si la société s'en était expliqué, elle a fait machine arrière devant le mécontement des clients.
Les objets connectés peuvent rendre de nombreux services au quotidien, que ce soit pour gérer son chauffage, son éclairage, son alarme, etc. Ils sont par contre bien (trop ?) souvent rattaché à un service en ligne, dont ils dépendent plus ou moins directement : un incident sur les serveurs du fabricant et ce sont souvent les clients qui trinquent.
Après la mise à mort de l'Harmony Link...
Dans d'autres cas, des constructeurs décident tout simplement d'abandonner une gamme de produits du jour au lendemain, laissant les utilisateurs sans solution. C'était le cas de Logitech en novembre 2017, la société expliquant alors à ses clients que leur Harmony Link (un boitier permettant de transformer son smartphone en télécommande infrarouge) serait tout bonnement inutilisable quatre mois plus tard.
Chez les clients, c'était l'incompréhension : pourquoi un tel produit devrait cesser de fonctionner simplement parce que le fabricant l'a décidé ? Tout simplement parce que le Link avait besoin de joindre les serveurs de Logitech pour pouvoir être utilisé... même en local. Seule alternative : acheter la nouvelle version, le Hub... avec une ristourne de 35 %.
Dans un premier temps, les clients dont le Link était encore sous garantie avaient eu droit à un échange gratuit. Mais face à la grogne, le constructeur a finalement étendu ce programme en proposant gratuitement à tous ceux ayant acheté un Link de recevoir gratuitement un Harmony Hub (la nouvelle version du produit).
Mais cela n'a semble-t-il pas servi de leçon à Logitech, qui a de nouveau joué avec les nerfs de ses clients sur cette gamme de produits... avant de faire encore une fois demi-tour.
... Logitech coupe des fonctionnalités du Harmony Hub
Pour renforcer la sécurité et boucher des failles de sécurité signalées par des experts de chez Tenable (le détail est disponible par ici), le constructeur a mis en ligne un firmware 4.15.206 pour son boîtier Harmony Hub. La brèche lui avait été signalée le 31 octobre, qui l'a corrigé le 11 décembre avec ce nouveau firmware (sans prévenir Tenable de sa publication).
C'est à ce moment là que les premiers grognements sont remontés à la surface, notamment sur les réseaux sociaux : des objets connectés refusaient de fonctionner, sans raison apparente. Via une publication sur ses forums, Logitech a donné des explications : « Nous sommes conscients que des clients utilisant des API Harmony non documentées sont des dommages collatéraux du colmatage de ces vulnérabilités ».
Le constructeur a précisé à Ars Technica que c'est « l'interface XMPP, utilisée dans le cadre de la procédure de configuration, a été signalée comme un canal de communication non sécurisée. Nous l'avons supprimé dans le but d'améliorer la sécurité du hub ». Elle était pourtant utilisée depuis des années, sans que cela ne semble poser le moindre souci.
Une pratique commune à plusieurs constructeurs qui veulent attirer les bidouilleurs avec des API ouvertes de ce genre, qu'ils documentent peu ou pas, et peuvent ainsi agir dessus quand bon leur semble sans avoir (pensent-ils) à s'en justifier.
Logitech rejette la faute sur les développeurs
Ainsi, plutôt que proposer une solution en sécurisant l'accès, Logitech a dans un premier temps expliqué que « ces API privées n'ont jamais été supportées officiellement » et qu'il « est regrettable que des clients les utilisant soient affectés par ce correctif. Mais la sécurité générale de nos produits et de l'ensemble de nos clients est notre priorité ».
Bref, aucune solution n'était alors envisagée pour rouvrir les API et la recommandation officielle était simplement de passer au firmware 4.15.206. Si besoin, Todd Walker (directeur marketing chez Logitech) confirmait ce point sur Twitter : « Actuellement, nous n'envisageons pas d'ajouter de support pour le contrôle local ».
Pour les clients demandant un remboursement, la réponse était tout aussi expéditive : « l'accès à ces API n'était pas un service livré avec le produit, et n'a jamais été revendiquée comme une fonctionnalité » du Harmony Hub.
This was not a feature the product shipped with, nor was ever claimed as a feature.
— Todd Walker (@ToddW_Logitech) 19 décembre 2018
Of course things can always change in the future, but I don't want to mislead anyone. We don't have plans to reenable this private API
Comme lors de l'annonce de la mise à mort du Harmony Link, il n'a pas fallu attendre bien longtemps pour que le fabricant retourne sa veste. Il faut dire que les utilisateurs et les développeurs tiers étaient assez virulents, notamment Home Assistant) : « Nous avons entendu vos préoccupations [...] nous cherchons une solution à ceux qui voudraient toujours un accès malgré les risques de sécurité inhérents », expliquait Logitech tout juste deux jours après les tweets de Todd Walker.
Un firmware bêta avec failles de sécurité, annulant la garantie
Un programme « bêta XMPP » a ainsi été mis en place dans la foulée, pour continuer d'accéder aux fonctionnalités qui avaient été bloquées. Logitech prévoit de proposer un nouveau firmware en version finale dans le courant du mois de janvier, sans plus de détails sur les éventuels correctifs qui seront mis en place.
Le fabricant met en garde : « Il s’agit de la version 4.15.210 qui n’a pas le correctif de sécurité critique nécessaire pour vous protéger contre les vulnérabilités XMPP. L'utilisation de cette version peut créer un point d'accès local non sécurisé vulnérable au piratage. Nous recommandons à tous les utilisateurs d’installer la version normale (actuellement la 4.15.206) ».
Pire encore, « en installant cette version et en apportant des modifications non autorisées au logiciel Logitech, vous annulez la garantie » de votre produit prévient le constructeur. Pour continuer malgré tout, il faut cliquer sur Update Firmware.
L'installation passe par le logiciel MyHarmony de Logitech. Une fois lancé, tapez la combinaison de touches Alt + F9 lors de la phase d'identification sous Windows. Sur macOS, deux possibilités : Fn + Option + F9 ou Option + F9. Vous arrivez alors sur la page Update Remote où vous trouverez le bloc nommé : Firmware pour activer XMPP. Pour développeurs seulement.
Bien entendu, nous ne pouvons que vous déconseiller de l'installer tant que le patch annoncé n'a pas été déployé. On regrette au passage la méthode à nouveau employée par Logitech, tant dans sa réaction suite à la découverte de la faille, que la méthode choisie ou la réponse finalement apportée.
