Des portes dérobées sur les produits de stockage HP

Pierrick Aubert |

La société américaine a reconnu qu'il existait des portes dérobées chez ses produits StoreVirtual. Des identifiants et mots de passe permettent d'ouvrir certaines portes dérobées. Un patch devrait être disponible au plus tard le 17 juillet.



Les solutions de stockage de Hewlett-Packard ne sont apparemment pas des plus sures. Des failles de sécurité ont été identifiées concernant les appareils StoreVirtual. D'après le site d'information The Register, le problème ne date pas d'hier et existerait depuis 2009. Avec diverses preuves - noms de compte et mots de passe à l'appui - plusieurs portes dérobées permettant l'accès à des périphériques HP ont été confirmées.



Face à cette situation, HP a tenu à prévenir ses utilisateurs en déclarant que "cette vulnérabilité pouvait être exploitée à distance afin d'obtenir un accès non autorisé à des appareils". Tous les systèmes de stockage Storevirtual sont équipés d'un mécanisme qui permet à HP d'accéder au système d'exploitation de ses clients. Malheureusement, cette fonctionnalité ne peut pas être désactivée aujourd'hui, précise la compagnie.





Reconnaissant l'importance du problème, la société a annoncé qu'elle fournirait un patch à ses clients avant le 17 juillet 2013. Cela devrait enfin leur permettre de désactiver cette porte d'entrée laissée grande ouverte. HP tente toutefois de calmer le jeu et affirme que "l'accès à la racine de l'OS ne donne pas accès aux données de l'utilisateur qui sont stockées sur le système". Bien que ces données ne soient visiblement pas accessibles, une intrusion peut permettre un redémarrage du système et sa paralysie.



Les produits HP StoreVirtual sont des appareils de stockage qui utilisent le système d'exploitation personnalisé, LeftHand OS, qui n'est pas accessible à l'utilisateur final. Cet accès limité est disponible à l'utilisateur via l'interface de commande StoreVirtual mais l'accès Root est quant à lui bloqué.



Côté sécurité, il existe toujours la solution ultime : l'option reset qui restaure les paramètres d'origine, mais supprime les données de l'utilisateur.

Tags
#sécurité #Hewlett-Packard
avatar Madalvée | 
Ça ou le cloud, de toutes façons…
avatar bobeponge | 
Madalvée [11/07/2013 16:02] Ça ou le cloud, de toutes façons… ça vole pas haut les commantaires
avatar codeX | 
L'hôpital qui se fout de la charité
avatar phantoom | 
Prism ready
avatar BLM | 
Si la possibilité de supprimer cette porte dérobée est une question intéressante, plus fondamental est à mon sens que HP justifie l'existence même de cette porte dérobée: pourquoi ce mécanisme a-t-il été implémenté (si il est aussi inoffensif que ça, ne "permettant aucun accès aux données du client") ? Et pour quoi l'a-t-il été à l'insu du client ? (Si il était inoffensif, cela n'aurait rien coûté de dire "nous gardons la possibilité de vous aider à résoudre un éventuel pb par un mécanisme d'accès aux couches profondes du système", voire de laisser la possibilité au client de désactiver cette possibilité). HP mis à part, combine d'autres boites similaires procèdent de la même façon ?
avatar BLM | 
Il y a un sérieux os ds le llien proposé :«HP tente toutefois de calmer le jeu» Ce llien associé n'a strictement aucun rapport avec le sujet ! Alors ? Ratage complet et innocent d'un rédacteur préparant en tâche de fond les courses de Noël pour ses enfants ? Ou bien tentative de provoquer un clic malencontreux (il n'y a pas de petit profit ds l'affiliation ? Fâcheux en tout cas.
avatar BLM | 
Le llien proposé est http://www.littlemome.fr/tente-de-jeu-enfant.html
avatar oomu | 
l'énième constatation que tous ces produits avec support distant intégrés et console/protocole de gestion/supervision déportées chez un tiers (parfois sur le "cloud" comme disent les jeunes) sont des dangers. Sorti d'appareils aux fonctions en LOCAL, via des protocoles standards (et dont tout le stack existe chez plusieurs fournisseurs, voir en total logiciel libre/opensource) et du matériel simple, c'est NON autant que possible, NAON et NAON. Jusqu'à présent j'ai pu éviter ce genre de produits félons dans mon travail. ha c'est sur, on a pas les petits raffinements d'inventaire et monitoring avec active directory ni les petits fours (pardon, macarons) du commercial lors des "présentations" dans les hôtels particuliers..
avatar noooty | 
Mince, j'ai une imprimante hp... @bobeponge : Ni ton orthographe d'ailleurs...
avatar Anonyme (non vérifié) | 
@phantoom Échelon et PRISM Ready faudrait plutôt dire... parceque c'est pas nouveau. Dire: "Des identifiants et mots de passe permettent d'ouvrir certaines portes dérobées" cela voudrait dire que ce ne sont pas des failles de sécurités disons, "involontaires" due a des failles pouvant être exploitées mais bien installées dans un but... :) Déjà à l'époque Cisco avait fait parlé au sujet d'un même problème et voilà que ça continu :)
avatar aimstar | 
Lol donc avec HP on achete une solution qui non seulement ne permet pas au proprietaire l'acces root mais par contre quelqun dautre peut avoir totalement acces a votre appareil loool ils sont trop fort les mecs
avatar Stech72 | 
On peut accéder à la racine …… Mais avec lesquelles ayant droit ? …. si on à partir de la racine copier toute la structure du système alors oui les données clients sont fragilisées du point vu de la confidentialité …… Bref ce que nous lâche HP en ce moment c'est de la grosse merde , quand cette entreprise dérape , ce n'est pas simplement un crissement de pneu, mais elle prend carrément le champ …….. Et non je ne fais pas de bashing je suis un Fan de HP tout autant que de Apple .
avatar ericb2 | 
Et personne ne s'est posé la question pour les scanners, et autres périphériques ?
avatar joneskind | 
@phantoom : ^_^
avatar MrFloyd | 
@oomu : 'total logiciel libre/opensource' C'est ce à quoi je pensais en lisant ça : si les softs étaient open source ce mea culpa n'aurait pas existé. Les boîtes croient préserver leur patrimoine en gardant leurs logiciels secrets, au lieu de cela elles se privent de la relecture de beaucoup de curieux avertis, et dans les pires cas - comme celui-ci, elles subissent des revers de communication. L'open source est une vraie stratégie à étudier dans une société technologique.

CONNEXION UTILISATEUR