Logitech Options : entre faille critique et mise à jour tardive

Le Project Zero de Google a encore frappé ! On rappellera tout d'abord que ce groupe de chercheur était à l'origine de la découverte des failles Meltdown et Spectre en juin 2017 affectant presque tous les CPU des 10 dernières années, mais dont la documentation ne fut publiée qu'en janvier 2018 à la fin d'un délai convenu avec les fabricants impliqués.

La faille dévoilée aujourd'hui par l'un des chercheurs de Project Zero n'est heureusement pas aussi dramatique puisqu'elle se limite au logiciel Logitech Options de Logitech, et est donc essentiellement software. Il a ainsi été démontré la présence d'un bug pouvant exposer les utilisateurs du logiciel lors de la navigation sur des pages web. Ainsi, après installation Logitech Options ouvrait un port local pour un serveur Websocket ne nécessitant quasiment aucune forme d'authentification pour passer des commandes externes, devenant de ce fait une porte ouverte pour une intrusion en envoyant des frappes simulées à part d'un site et ainsi prendre le contrôle de la machine affectée.

Comme c'est souvent le cas avec de telles vulnérabilités critiques, la faille avait été rapportée à Logitech bien avant sa publication définitive le 11 décembre, plus précisément le 12 septembre dernier. Le constructeur avait apparemment de suite reconnu le problème défini par la trouvaille du chercheur Tavis Ormandy, mais n'avait entre-temps publié absolument aucune mise à jour corrective du software... Passé le délai de 90 jours, et comme le veut la politique du Project Zero histoire de laisser du temps au constructeur concerné pour faire le nécessaire, la faille fut naturellement automatiquement rendue publique aux yeux de tous, pirates en herbes et gentilshommes.

Visiblement, c'était le coup de pouce qu'il fallait pour motiver enfin Logitech à mettre à jour son logiciel, dont la version 7.00.564 en date du 13 décembre était alors pressentie comme apportant une correction de la faille. On aimerait pouvoir accorder le bénéfice du doute au constructeur, mais on ne peut s’empêcher de penser que Logitech traînait jusqu'ici peut-être aussi un peu des pattes, probablement par négligence plus qu'autre chose, et qu'il aurait en fin de compte été pris en défaut par la publication de la faille. Cependant, de premiers tests de la version 7.00.564 suggéreraient que la vulnérabilité y est toujours encore exploitable, à en croire ce fil. Cela resterait donc une affaire à suivre, particulièrement si vous êtes un utilisateur du logiciel en question.

D'un autre côté, ce que l'histoire ne nous dit pas, c'est si cette faille pouvait aussi toucher le Gaming Software de Logitech, dont on supposera qu'il exploite au moins une base similaire à Logitech Options et pourrait donc potentiellement partager de mêmes défauts. Il faut savoir que la découverte de cette faille a découlé avant tout du fait que Tavis Ormandy utilise Logitech Options à titre personnel. De ce fait, la question d'un software parent potentiellement affecté ne s'est donc pas encore nécessaire posé. À savoir que la dernière mise à jour date du 8 octobre. Cela dit, ça ne saurait peut-être trop tarder maintenant que la faille est publique...En attendant, il pourrait être recommandable et prudent de se passer des services de l'un comme de l'autre. Shame, shame, Logitech ? (Source : Project Zero, via TPU)