En temps de crise, il est courant de voir les personnes sur qui on peut compter, comme celles qui par inexpérience ou par peur refusent d’apporter une aide quelconque.

Il en est de même pour les constructeurs informatiques softs et hadwares. Il y a ceux qui vont vous informer du problème rencontré, vous tenir au courant, bref gérer avec vous ce moment à passer. Et puis il y a ceux faisant l’autruche, espèrent capitaliser sur le silence pour passer au travers des événements.
Ici même, Nicolas vous a informé des failles critiques appelées Meldown et Spectre touchant l’ensemble de tous les processeurs actuellement en activité et ce depuis 1995. Cela concerne aussi bien votre Chromebook, les P.C. sous processeurs Intel/IBM/AMD/ARM et sous Os Windows, Apple, Linux, Oracle Solaris, etc…(1) (2) ,les DAB (Distributeurs Automatique de Billets), mais aussi les machines dans les fermes de serveurs  comme les bornes de vente de billets (SNCF, RATP, etc…). Nous voyons donc que tous les processeurs de ces outils informatiques sont touchés par ces deux failles qui ne sont pas spacio-temporelles.  Même chez vous, en dehors de votre ChromeBook,  d’autres outils comme par exemple les NAS ( Network Attached Storage), sont aussi « ennuyés ».


Justement, nous avons voulu savoir comment avait réagi les différentes marques de NAS face à cette crise et par là même la  politique de communication mise en place pour informer leurs utilisateurs. Pour ce faire, nous avons sélectionné trois sociétés. Notre choix n’a pas été guidé par les possibilités offertes par leurs Os, mais par la notoriété qu’elles avaient sur le marché et donc le nombre de ventes.

Première marque sélectionné avec Western Digital Corporation. Connue pour ses disques durs à plateaux, elle en est le premier fabricant mondial, devant Seagate. Elle propose bien sûr des NAS équipés logiquement de micro-processeur, comme  par exemple pour le modèle DL4100 muni d’un processeur Intel Atom  C2338 dual-core. Bref, un modèle standard comme on aimerait en voir plus souvent.  Mais au fait, concernant l’information à l’intention des utilisateurs des NAS de la marque, sur les deux failles critiques, que dit-elle, que propose-t-elle, que va-t-elle faire ? Et bien….. aussi incroyable que cela puisse paraître, c’est……(personne à gauche, personne à droite) hum, hum….. c’est silence radio, mais ne le dites pas. Oui, pas une info. Rien. Ni en haut, ni en bas. Encore moins au milieu. De la page d’accueil aux recoins contenant les spécifications d’un modèle, nada. Et on vous le prouve, avec cette capture de la page d’accueil. Bien sûr cela prend de l’espace, mais comme on dit « quand on avance quelque chose, il faut le prouver » et c’est fait.

Maintenant voici le deuxième constructeur que nous avons choisi. Il s’agit de Synology et nombre d’entre vous, sont certainement pourvus d’un NAS de la marque. Réputé pour les mises à jours régulières de son interface (le DSM)  et de la robustesse de ses produits, c’est en bas de la page d’accueil que nous avons trouvé un lien nommé Avertissement de sécurité   nous renvoyant vers ce qui est appelé Avertissement de sécurité du produit Synology. Sur cette même page dans la rubrique Mises à jour de la sécurité du produit Synology, on y apprend que “pour protéger les utilisateurs, Synology n’annonce pas publiquement les vulnérabilités de la sécurité jusqu’à ce que les résolutions soient publiquement disponibles ni les détails exacts de l’émission de telles vulnérabilités. Une fois que les résolutions sont disponibles, les vulnérabilités seront annoncées sur le site web officiel de Synology.”  Et  dans le tableau, un  lien vers une page en anglais. Intitulé “Synology-SA-18:01 Meltdown and Spectre Attacks”, le communiqué indique que ”Synology publiera une mise à jour logicielle pour répondre à CVE-2017-5715 pour les modèles qui utilisent un processeur Intel et continue l’enquête sur l’impact des deux autres vulnérabilités. De plus amples informations seront mises à jour en conséquence sur cet avis.
Voila une mise au point claire, nette et bien cadrée. Elle a le mérite d’exister et de notre point de vue voici une démarche franche et réaliste montrant bien que Synology a bien compris l’importance de la communication.

Enfin troisième et dernière marque de notre sélection, avec QNAP (Quality Network Appliance Provider)  Nous aurions aimé vous présenter le premier de la classe, vous dire que la communication était au top du top, que la relation avec le client était un modèle du genre, bref que nous étions dans le meilleur des mondes. Mais….. et bien  non. Oh, il y a bien dans la page d’accueil, un lien vers ce qui est appelé la protection de vos données face aux ransomwares, mais en dehors de cela… et bien rien. Ah si, quand même, il y a une page contenant des informations  de sécurité. « La liste répertorie les failles de sécurité des produits QNAP et leurs descriptions correspondantes. Veuillez corriger les vulnérabilités en fonction des informations et des solutions suivantes » comme il est dit dans le descriptif. La dernière faille date du….. 2017-12-15. Ah chouette, comme c’est bien. Les deux failles de sécurité dont Nicolas vous donnait la description n’existent pas encore. Dommage.

Cet article écrit le 5 janvier, l’actualité assez chargée avec entre autre le CES de Las Vegas, ne nous a pas permis de le publier plut tôt.  La veille de sa publication, nous avons vérifié si les sites en dehors de Synology, avaient modifié leurs politiques de communication sur les deux failles.
Pour ce qui concerne la marque Western Digital Corporation, toujours aucune information de publiée.
Maintenant avec la société QNAP un bulletin de sécurité a bien été publié mais…  le 8 janvier portant l’ID de sécurité NAS-201801-08. On peut penser qu’il y a eu comme…. un retard à l’allumage.

Voila tout est dit, fermez le ban”,  allez vous dire. Pas tout à fait !
Comme le souligne David Monniaux, directeur de recherche au CNRS, dans son blog, “la complexité des machines actuelles, due à la recherche de hautes performances, avec la présence de nombreuses ressources partagées, est telle qu’il est difficile d’éviter les canaux cachés”. Ces mêmes canaux cachés justement mis à profit pour Meltdown et Spectre par d’hypothétiques malfaisants.  Nous voici donc bien, au vu de ces informations, devant un très grave “souci” sur notre sécurité personnelle, car avoir accès à nos données, sans pouvoir s’en apercevoir, qu’elles soient ou non importantes, montre à quelle point la dangerosité de ces deux failles.


Où est  la communication de crise informant de manière rationnelle, sans rien cacher,  sans rien inventer, de la société Western Digital ? Et bien….. nulle part mon général.


Donc on ne dit rien et on attend en faisant le gros dos. Et pourtant suivant l’expression familière, il ne s’agit pas d’un perdreau de l’année. Depuis sa création en 1970, WD a sûrement du gérer  des situations de crises lui permettant d’avoir une certaine expérience dans la gestion tant au niveau interne qu’au niveau externe. Mais là….. c’est le néant en quelque sorte. Le vide. L’espace sidéral sans les deux failles spatio-temporelles. Il est sûr qu’une telle politique ne pourra qu’être néfaste pour demain à cette société.
 
Au terme de cet article, à travers ces quelques exemples sélectionnés au hasard, sans parti pris nous tenons à le signaler, nous avons essayé de vous montrer une fois de plus que la confiance se doit d’exister entre les utilisateurs privés ou institutionnels des outils informatiques et ceux qui les construisent. Dans les bons moments, comme les mauvais.  Si celle-ci n’existe pas, il est sûr que la société ne pourra qu’être amenée à disparaitre à plus ou moins long terme.
Certains lecteurs pourront penser à ce moment de la lecture de cet article… “
mais qu’est-ce que j’en ai à faire que la société X ou Y disparaisse”. Oui, qu’est-ce qu’ils en ont à faire ? Mais justement, c’est par la diversité et par le nombre toujours plus important de sociétés X ou Y, que les avancées technologiques se feront. Car si nous ne devions nous retrouver qu’avec un ou deux constructeurs d’outils informatiques, il est probable, que là c’est l’intelligence de l’homme qui disparaitrait.

(1) Il existe trois variantes principales des exploits que Google a détaillé avec leurs mécanismes d’action respectifs dans un article : variante 1 (CVE-2017-5753), variante 2 (CVE-2017-5715), variante 3 (CVE-2017-5754). Deux d’entre elles ont été respectivement baptisées Meltdown et Spectre, elles affecteraient les processeurs depuis 1995. La variante 1 affecte presque tous les processeurs modernes (AMD, ARM et Intel notamment), alors que les variantes 2 et 3 de la faille affectent principalement les CPU Intel et une partie des CPU ARM. Google estime que « Spectre est plus difficile à exploiter que Meltdown, mais qu’il est également plus difficile à atténuer ».  ( voir source )

(2) Red Hat, Inc. a prévenu de son côté que même certains CPU IBM sont concernés par cette annonce, dont voici un extrait de son communique de presse concernant les microprocesseurs en question… “Red Hat a été mis au courant de multiples problèmes d’implémentation de microarchitecture (matériel) affectant de nombreux microprocesseurs modernes, nécessitant des mises à jour du noyau Linux, des composants liés à la virtualisation, et / ou en combinaison avec une mise à jour du microcode. Un attaquant non privilégié peut utiliser ces failles pour contourner les restrictions conventionnelles de sécurité de la mémoire afin d’obtenir un accès en lecture à la mémoire privilégiée qui serait autrement inaccessible. Il existe 3 CVE connus associés à ce problème en combinaison avec les architectures Intel, AMD et ARM. Des exploits supplémentaires pour d’autres architectures sont également connus. Ceux-ci incluent IBM System Z, POWER8 (Big Endian et Little Endian) et POWER9 (Little Endian).”

Shares:

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.