Sécurité IT : bientôt une jurisprudence HP LaserJet ?
L’affaire des imprimantes LaserJet de HP exposées au piratage soulève la question de l’implication des développeurs dans le processus de sécurisation des microcodes qu’ils fournissent aux constructeurs.
Au-delà de la class action qu’elle a engendrée à l’encontre de Hewlett-Packard, l’affaire des imprimantes LaserJet soulève la question de l’implication réelle des développeurs dans le processus de sécurisation de leurs logiciels.
Pour rappel, HP a, en date du 1er décembre, pris acte d’un recours déposé à ce sujet auprès d’une cour du district de Californie.
Les plaignants invoquent la non-divulgation d’une vulnérabilité dont le constructeur américain avait pourtant connaissance, des chercheurs de l’université de Columbia lui en ayant fait mention des suites d’une étude en ce sens.
Le rapport fait état du risque de propagation de menaces virales sur le réseau auquel est reliée l’imprimante.
Concrètement, une mise à jour du microcode (firmware) ouvre la voie à une prise de contrôle à distance et à l’exécution consécutive de code tiers dont les effets éventuels incluent la surchauffe de la machine, jusqu’à déclencher un incendie.
La faille en question affecterait la plupart des terminaux LaserJet sortis avant fin 2009.
L’implémentation ultérieure d’un système de signature numérique condamne toute tentative d’exploitation de l’artifice sur des appareils commercialisés à compter de 2010.
Des révélations que l’accusé n’a toutefois pas confirmées, renouvelant simplement les recommandations de rigueur : « placer l’ensemble derrière un firewall et, si possible, désactiver la possibilité de mettre à jour à distance le firmware. »
Au regard des réglementations américaines, un vide juridique anime les relations entre développeurs et constructeurs.
Quand le cadre législatif impose à ces derniers la résorption immédiate de telles incohérences logicielles, leurs vis-à-vis, épargnés à de nombreux titres, se tirent généralement d’affaire sans la moindre égratignure.
Pour sa défense, HP dénonce les contrariétés financières de telles mesures coercitives qui occasionneraient l’investissement de milliards de dollars autrement consacrés à l’innovation.
Comme le laisse entendre Computer World, l’implication des développeurs dans ce processus pourrait induire une révision des lois en vigueur… et la mise des deux parties sur un pied d’égalité.