Au-delà de la class action qu’elle a engendrée à l’encontre de Hewlett-Packard, l’affaire des imprimantes LaserJet soulève la question de l’implication réelle des développeurs dans le processus de sécurisation de leurs logiciels.
Pour rappel, HP a, en date du 1er décembre, pris acte d’un recours déposé à ce sujet auprès d’une cour du district de Californie.
Les plaignants invoquent la non-divulgation d’une vulnérabilité dont le constructeur américain avait pourtant connaissance, des chercheurs de l’université de Columbia lui en ayant fait mention des suites d’une étude en ce sens.
Le rapport fait état du risque de propagation de menaces virales sur le réseau auquel est reliée l’imprimante.
Concrètement, une mise à jour du microcode (firmware) ouvre la voie à une prise de contrôle à distance et à l’exécution consécutive de code tiers dont les effets éventuels incluent la surchauffe de la machine, jusqu’à déclencher un incendie.
La faille en question affecterait la plupart des terminaux LaserJet sortis avant fin 2009.
L’implémentation ultérieure d’un système de signature numérique condamne toute tentative d’exploitation de l’artifice sur des appareils commercialisés à compter de 2010.
Des révélations que l’accusé n’a toutefois pas confirmées, renouvelant simplement les recommandations de rigueur : « placer l’ensemble derrière un firewall et, si possible, désactiver la possibilité de mettre à jour à distance le firmware. »
Au regard des réglementations américaines, un vide juridique anime les relations entre développeurs et constructeurs.
Quand le cadre législatif impose à ces derniers la résorption immédiate de telles incohérences logicielles, leurs vis-à-vis, épargnés à de nombreux titres, se tirent généralement d’affaire sans la moindre égratignure.
Pour sa défense, HP dénonce les contrariétés financières de telles mesures coercitives qui occasionneraient l’investissement de milliards de dollars autrement consacrés à l’innovation.
Comme le laisse entendre Computer World, l’implication des développeurs dans ce processus pourrait induire une révision des lois en vigueur… et la mise des deux parties sur un pied d’égalité.
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…