Au-delà de la class action qu’elle a engendrée à l’encontre de Hewlett-Packard, l’affaire des imprimantes LaserJet soulève la question de l’implication réelle des développeurs dans le processus de sécurisation de leurs logiciels.
Pour rappel, HP a, en date du 1er décembre, pris acte d’un recours déposé à ce sujet auprès d’une cour du district de Californie.
Les plaignants invoquent la non-divulgation d’une vulnérabilité dont le constructeur américain avait pourtant connaissance, des chercheurs de l’université de Columbia lui en ayant fait mention des suites d’une étude en ce sens.
Le rapport fait état du risque de propagation de menaces virales sur le réseau auquel est reliée l’imprimante.
Concrètement, une mise à jour du microcode (firmware) ouvre la voie à une prise de contrôle à distance et à l’exécution consécutive de code tiers dont les effets éventuels incluent la surchauffe de la machine, jusqu’à déclencher un incendie.
La faille en question affecterait la plupart des terminaux LaserJet sortis avant fin 2009.
L’implémentation ultérieure d’un système de signature numérique condamne toute tentative d’exploitation de l’artifice sur des appareils commercialisés à compter de 2010.
Des révélations que l’accusé n’a toutefois pas confirmées, renouvelant simplement les recommandations de rigueur : « placer l’ensemble derrière un firewall et, si possible, désactiver la possibilité de mettre à jour à distance le firmware. »
Au regard des réglementations américaines, un vide juridique anime les relations entre développeurs et constructeurs.
Quand le cadre législatif impose à ces derniers la résorption immédiate de telles incohérences logicielles, leurs vis-à-vis, épargnés à de nombreux titres, se tirent généralement d’affaire sans la moindre égratignure.
Pour sa défense, HP dénonce les contrariétés financières de telles mesures coercitives qui occasionneraient l’investissement de milliards de dollars autrement consacrés à l’innovation.
Comme le laisse entendre Computer World, l’implication des développeurs dans ce processus pourrait induire une révision des lois en vigueur… et la mise des deux parties sur un pied d’égalité.
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…