Les produits de stockage de données HP appelés « StoreVirtual » disposent de portes cachées (backdoors) permettant d’accéder à distance à ces appareils. A l’origine pour le meilleur, mais aussi pour le pire ! Comment combler cette faille de sécurité ?
Les appareils StoreVirtual de HP sont plutôt destinés aux petites entreprises et aux particuliers connaisseurs : connectés à un réseau interne et/ou à Internet, les StoreVirtual permettent de stocker des données informatiques, et même de gérer soit-même son propre cloud (C’est quoi le Cloud Computing ?). En fonction de la configuration choisie, il est donc possible de créer des accès distants à ces machines, depuis n’importe quel PC connecté à Internet : ces accès sont personnalisés, et donc sécurisés. Mais on vient de découvrir que les StoreVirtual disposent également d’accès ouverts par défaut : bien que dissimulés, ces accès représentent un risque de sécurité (porte dérobée ou backdoor) dès lors qu’ils sont connus des cybercriminels.
Service client : le revers de la médaille
Ces portes dérobées ont été volontairement installées par le constructeur, HP. A l’origine, elles ont été conçues pour permettre au Support HP d’accéder au système d’exploitation des StoreVirtual (appelé LeftHand OS), dans le cadre de dépannages personnalisés et distants.
D’après The Register, ces portes dérobées existeraient depuis 2009, et seraient accessibles via des noms de comptes et mots de passe particuliers. Le 9 juillet dernier, HP a confirmé cette information :
Cette vulnérabilité pouvait être exploitée à distance afin d’obtenir un accès non autorisé à des appareils.
La multinationale américaine a toutefois tenté de nuancé les risques :
L’accès à la racine de l’OS ne donne pas accès aux données de l’utilisateur qui sont stockées sur le système.
Il n’en reste pas moins qu’un piratage à distance rend possible le redémarrage ou la paralysie de l’appareil.
Comment résoudre cette faille de sécurité ?
Techniquement, l’accès « caché » aux StoreVirtual n’est pas une fonctionnalité désactivable. En revanche, HP doit proposer une mise à jour, au plus tard demain (17 juillet 2013), à tous les utilisateurs des StoreVirtual : ce patch de sécurité devrait autoriser la désactivation (manuelle) des portes dérobées. Auquel cas l’intervention distante du Support HP ne sera plus possible. Mais les piratages intempestifs également ! Par conséquent, guettez la prochaine mise à jour de votre StoreVirtual dans l’interface de commande dédiée.
Source : macg.co
Image : Flickr / Max Boshini / CC BY-NC 2.0
Aucun commentaire