Passer au contenu

Durant des mois Blackberry a caché l’existence d’une faille critique dans son OS QNX

L’entreprise canadienne voulait visiblement éviter une trop grande exposition de son système d’exploitation temps réel. Mais compte tenu du niveau de risque potentiel, elle s’est finalement résolue à diffusion une alerte publique.

En matière de sécurité informatique, la politique de l’autruche n’est jamais une bonne stratégie. C’est pourtant celle qu’a choisie Blackberry quand Microsoft a découvert « BadAlloc », une série de failles critiques dans les méthodes d’allocation mémoire de 25 systèmes d’exploitation temps réel et kits de développement pour objets connectés. L’exploitation de ces failles permettait au pire de faire crasher un système et au mieux d’exécuter du code arbitraire à distance, et donc d’en prendre le contrôle.

Or, on vient d’apprendre que QNX, le système d’exploitation temps réel de Blackberry, était également affecté par ce problème. Certes, seules d’anciennes versions du logiciel seraient concernées, mais l’impact est quand même énorme, car QNX est intégré dans plus de 195 millions de véhicules et de systèmes embarqués, répartis dans un grand nombre d’industries : automobile, défense, aéronautique, santé, transports, robotique, etc.

A découvrir aussi en vidéo :

 

Selon le site Politico, si cette annonce arrive avec tellement de retard, c’est parce que Blackberry a fait des pieds et des mains pour éviter une alerte publique relative à QNX, qui est désormais l’un des produits phares de l’ancien fabricant canadien de smartphones. Vis-à-vis de l’agence de cybersécurité américaine CISA, Blackberry aurait d’abord nié l’existence de failles BacAlloc dans son système d’exploitation. Puis, confronté à la réalité, le fournisseur a voulu se limiter à une alerte privée, diffusée directement auprès de ses clients et partenaires.

Mais cette alerte en catimini se serait révélée largement insuffisante, car elle ne permettrait pas de s’adresser aux utilisateurs finaux, qui sont pourtant directement concernés par cette vulnérabilité. En effet, comme QNX est distribué de manière indirecte par licence OEM, Blackberry n’a qu’une visibilité approximative de son parc installé. Résultat : CISA et Blackberry ont finalement convenu de diffuser une alerte publique de manière conjointe, ce qui s’est passé mardi dernier.

Risque pour la sécurité nationale

Ce n’est pas trop tôt, car QNX est installé « dans un grand nombre de produits dont la compromission permettrait à un acteur malveillant de prendre le contrôle de systèmes hautement sensibles », a souligné Eric Goldstein, directeur cybersécurité au sein de la CISA, auprès de Politico. Autrement dit, il y avait là un risque pour la sécurité nationale des États-Unis. À l’heure actuelle, aucune attaque réelle n’a été identifiée sur les systèmes QNX, ce qui est une bonne nouvelle. La difficulté, c’est maintenant de procéder aux mises à jour.

Cette histoire illustre, une fois de plus, les risques inhérents aux chaînes d’approvisionnement logicielles. En raison du manque de suivi dans la diffusion et la réutilisation des logiciels, il est très difficile d’évaluer l’impact potentiel d’une vulnérabilité. En juillet dernier, le National Telecommunications and Information Administration (NTIA) a publié une première ébauche d’une méthode de suivi baptisée Software Bill of Materials (SBOM), qui permettrait d’identifier les différentes briques d’un système, de connaître leur origine et leur utilisation finale.

Source: Politico

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN