du 14 décembre 2018
Date

Choisir une autre édition

Le chercheur Tavis Ormandy, connu pour être un actif participant du Project Zero de Google, avait découvert en septembre des problèmes de sécurité dans l’application Options de Logitech, qui permet de personnaliser le comportement des claviers et souris maison.

Cette personnalisation se faisait via l’ouverture d’un serveur WebSocket local très mal protégé, acceptant des commandes potentiellement dangereuses, démarrant automatiquement avec le PC et ne fournissant qu’un système d’authentification décrit comme « apathique », presque inexistant.

Le chercheur dit avoir rencontré les équipes de Logitech le 18 septembre pour leur exposer les différents problèmes. Le constructeur aurait bien pris note et compris ses erreurs. Mais en octobre, la nouvelle version d’Options ne contenait aucun correctif.

S’agissant du Project Zero, Logitech avait 90 jours pour corriger le tir après découverte des failles. Ce délai écoulé, Tavis Ormandy a publié les détails de ses découvertes… provoquant une réaction de Logitech en moins de 48 heures.

Le constructeur a en effet publié la version 7.00.564 d’Options. Il confirme sur Twitter qu’elle corrige bien les soucis soulevés par le chercheur. Sur Twitter, certains notent qu’ils n’étaient donc pas si longs à réparer, soulignant le délai total de réaction.

Dommage une nouvelle fois qu’une entreprise, avertie depuis deux mois, ne réagisse à un problème de sécurité qu’après en avoir été exposée aux détails de manière publique.

 Logitech forcé de réagir après la publication détaillée de failles dans Options
chargement Chargement des commentaires...