Logitech coupe l’accès à une API non documentée puis fait demi-tour face à la grogne
Make XMPP great again !
Logitech aime visiblement jouer avec les nerfs de ses clients. Dernier exemple en date : le fabricant a déployé une mise à jour de sécurité fermant l'accès à une API non documentée, mais largement utilisée. Si la société s'en était expliqué, elle a fait machine arrière devant le mécontement des clients.
Les objets connectés peuvent rendre de nombreux services au quotidien, que ce soit pour gérer son chauffage, son éclairage, son alarme, etc. Ils sont par contre bien (trop ?) souvent rattaché à un service en ligne, dont ils dépendent plus ou moins directement : un incident sur les serveurs du fabricant et ce sont souvent les clients qui trinquent.
Après la mise à mort de l'Harmony Link...
Dans d'autres cas, des constructeurs décident tout simplement d'abandonner une gamme de produits du jour au lendemain, laissant les utilisateurs sans solution. C'était le cas de Logitech en novembre 2017, la société expliquant alors à ses clients que leur Harmony Link (un boitier permettant de transformer son smartphone en télécommande infrarouge) serait tout bonnement inutilisable quatre mois plus tard.
Chez les clients, c'était l'incompréhension : pourquoi un tel produit devrait cesser de fonctionner simplement parce que le fabricant l'a décidé ? Tout simplement parce que le Link avait besoin de joindre les serveurs de Logitech pour pouvoir être utilisé... même en local. Seule alternative : acheter la nouvelle version, le Hub... avec une ristourne de 35 %.
Dans un premier temps, les clients dont le Link était encore sous garantie avaient eu droit à un échange gratuit. Mais face à la grogne, le constructeur a finalement étendu ce programme en proposant gratuitement à tous ceux ayant acheté un Link de recevoir gratuitement un Harmony Hub (la nouvelle version du produit).
Mais cela n'a semble-t-il pas servi de leçon à Logitech, qui a de nouveau joué avec les nerfs de ses clients sur cette gamme de produits... avant de faire encore une fois demi-tour.
... Logitech coupe des fonctionnalités du Harmony Hub
Pour renforcer la sécurité et boucher des failles de sécurité signalées par des experts de chez Tenable (le détail est disponible par ici), le constructeur a mis en ligne un firmware 4.15.206 pour son boîtier Harmony Hub. La brèche lui avait été signalée le 31 octobre, qui l'a corrigé le 11 décembre avec ce nouveau firmware (sans prévenir Tenable de sa publication).
C'est à ce moment là que les premiers grognements sont remontés à la surface, notamment sur les réseaux sociaux : des objets connectés refusaient de fonctionner, sans raison apparente. Via une publication sur ses forums, Logitech a donné des explications : « Nous sommes conscients que des clients utilisant des API Harmony non documentées sont des dommages collatéraux du colmatage de ces vulnérabilités ».
Le constructeur a précisé à Ars Technica que c'est « l'interface XMPP, utilisée dans le cadre de la procédure de configuration, a été signalée comme un canal de communication non sécurisée. Nous l'avons supprimé dans le but d'améliorer la sécurité du hub ». Elle était pourtant utilisée depuis des années, sans que cela ne semble poser le moindre souci.
Une pratique commune à plusieurs constructeurs qui veulent attirer les bidouilleurs avec des API ouvertes de ce genre, qu'ils documentent peu ou pas, et peuvent ainsi agir dessus quand bon leur semble sans avoir (pensent-ils) à s'en justifier.
Logitech rejette la faute sur les développeurs
Ainsi, plutôt que proposer une solution en sécurisant l'accès, Logitech a dans un premier temps expliqué que « ces API privées n'ont jamais été supportées officiellement » et qu'il « est regrettable que des clients les utilisant soient affectés par ce correctif. Mais la sécurité générale de nos produits et de l'ensemble de nos clients est notre priorité ».
Bref, aucune solution n'était alors envisagée pour rouvrir les API et la recommandation officielle était simplement de passer au firmware 4.15.206. Si besoin, Todd Walker (directeur marketing chez Logitech) confirmait ce point sur Twitter : « Actuellement, nous n'envisageons pas d'ajouter de support pour le contrôle local ».
Pour les clients demandant un remboursement, la réponse était tout aussi expéditive : « l'accès à ces API n'était pas un service livré avec le produit, et n'a jamais été revendiquée comme une fonctionnalité » du Harmony Hub.
This was not a feature the product shipped with, nor was ever claimed as a feature.
Of course things can always change in the future, but I don't want to mislead anyone. We don't have plans to reenable this private API
— Todd Walker (@ToddW_Logitech) 19 décembre 2018
Comme lors de l'annonce de la mise à mort du Harmony Link, il n'a pas fallu attendre bien longtemps pour que le fabricant retourne sa veste. Il faut dire que les utilisateurs et les développeurs tiers étaient assez virulents, notamment Home Assistant) : « Nous avons entendu vos préoccupations [...] nous cherchons une solution à ceux qui voudraient toujours un accès malgré les risques de sécurité inhérents », expliquait Logitech tout juste deux jours après les tweets de Todd Walker.
Un firmware bêta avec failles de sécurité, annulant la garantie
Un programme « bêta XMPP » a ainsi été mis en place dans la foulée, pour continuer d'accéder aux fonctionnalités qui avaient été bloquées. Logitech prévoit de proposer un nouveau firmware en version finale dans le courant du mois de janvier, sans plus de détails sur les éventuels correctifs qui seront mis en place.
Le fabricant met en garde : « Il s’agit de la version 4.15.210 qui n’a pas le correctif de sécurité critique nécessaire pour vous protéger contre les vulnérabilités XMPP. L'utilisation de cette version peut créer un point d'accès local non sécurisé vulnérable au piratage. Nous recommandons à tous les utilisateurs d’installer la version normale (actuellement la 4.15.206) ».
Pire encore, « en installant cette version et en apportant des modifications non autorisées au logiciel Logitech, vous annulez la garantie » de votre produit prévient le constructeur. Pour continuer malgré tout, il faut cliquer sur Update Firmware.
L'installation passe par le logiciel MyHarmony de Logitech. Une fois lancé, tapez la combinaison de touches Alt + F9 lors de la phase d'identification sous Windows. Sur macOS, deux possibilités : Fn + Option + F9 ou Option + F9. Vous arrivez alors sur la page Update Remote où vous trouverez le bloc nommé : Firmware pour activer XMPP. Pour développeurs seulement.
Bien entendu, nous ne pouvons que vous déconseiller de l'installer tant que le patch annoncé n'a pas été déployé. On regrette au passage la méthode à nouveau employée par Logitech, tant dans sa réaction suite à la découverte de la faille, que la méthode choisie ou la réponse finalement apportée.
Commentaires (15)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 26/12/2018 à 09h37
Pourquoi cela?
Il est pourtant clair que cette API n’était pas une fonction prévue par Logitech, que ce sont des éléments privés indépendants d’eux.
Si les utilisateurs râlent, n’est-ce pas plutôt vers les développeurs de ces API qu’ils devraient se tourner?
Quand windows met à jour son OS suite à des problèmes de secu, si une API marche pas, c’est à son développeur de s’adapter, pas à MS.
Le 26/12/2018 à 10h01
L’API est fournie par Logitech, mais pas documentée. Typiquement, c’est plutôt pour leur propre usage, et pour ceux qui aiment bidouiller. Et comme souvent, c’est largement utilisé.
Mais comme dit, en cas de souci, le constructeur se dit qu’il peut tirer un trait sur la fonctionnalité, en oubliant qu’il a largement misé dessus pour que son produit se développe auprès d’un public qui en tirait parti.
Le 26/12/2018 à 12h01
En tout cas j’ai Une Harmony depuis plusieurs années et j’en suis pleinement satisfait pour le moment.
Les réglages sont toujours un peu trop lourds mais une fois réglé, c’est parfait.
En tout cas, c’est pas cool pour le cas présent.
La chose étonnante (ou pas) c’est que je me suis souvent servi de la télécommande réseau coupé sans problème.
Bon, faut dire que je m’en sers de manière traditionnelle pour le moment.
Je verrais bien ce qu’il en sera lorsque j’aurais déménagé et mis de la domotique partout
Le 26/12/2018 à 12h34
Le problème, c’est que depuis plusieurs mois, le hub est devenu encore plus dépendant du net. C’est ce que j’ai pu voir via mon pihole, il n’arrête pas de faire des requêtes sur pubnub pour savoir si des commandes auraient été lancées de l’extérieur via leur application.
Le 26/12/2018 à 17h32
Je pense que pour l’annulation de garantie ils se touchent un peu…
Le 27/12/2018 à 13h52
Conclusion : avant d’acheter une Harmony, basculer chez la concurrence…
Pareil. Ca m’étonnerait fort que ca passe devait un tribunal.
Le 28/12/2018 à 06h20
Si tu connais une concurrence, n’hésite pas à donner des noms. Le soucis des produits Harmony, c’est qu’ils n’ont pas de réelle concurrence (non, une télécommande chinoise à 3€ ne rend pas le même service)
Le 28/12/2018 à 12h44
On parle dans l’article du ‘harmony hub’ ; ça semble être un truc qu’on pilote avec une interface sur son smartphone pour automatiser certaines tâches et communiquer avec différents périphériques.
Sur ces aspects là, la concurrence existe, notamment via des softs de domotique ‘full local’ et open-source (genre Jeedom ou d’autres) et leur bardée de ‘plugins’ pour dialoguer avec plein de périphériques différents.
Après, si tu parles des télécommandes harmony (on est déjà en HS vis à vis de l’article) ; effectivement on n’a pas grande concurrence pour des telcos évoluées avec un écran dessus ; ceci dit, en 2018, j’ai de plus en plus de mal à voir la valeur ajoutée comparée à un smartphone qu’on a déjà tous dans nos poches (où un supplémentaire dédié qu’on trouvera facilement pour quelques dizaines d’euros). Ou alors j’ai raté un truc.
Le 28/12/2018 à 13h20
Un smartphone ne remplace pas le toucher d’une télécommande.
Dans le noir je peux utiliser la totalité des fonctions de la télécommande alors qu’avec un smartphone c’est impossible.
Le 28/12/2018 à 14h58
Quel doigté! On est en plein monde digital là!
Le 28/12/2018 à 17h38
euh, t’es au courant que les écrans de smartphones sont - un peu - rétroéclairés quand même ?!
Trève de plaisanterie:
je comprends bien ton histoire de “sentir” les touches d’une telco dans le noir, mais dans ce cas là on parle des fonctions basiques d’une telco “chinoise à 3€” (pour reprendre la formule la tentacule blanche ci-avant) et pas de ce qui ferait la différence des harmony comparé aux concurrents.
et si on part justement sur ces fonctions évoluées, (écran, menus, etc…) on retombe dans les cas d’utilisation de solutions tierces proposant une interface sur le smartphone de l’utilisateur.
Le 28/12/2018 à 21h40
Ressenti des touches ou pas vu que lors d’une utilisation juste normale, l’autonomie d’un smartphone dépasse déjà même pas les 24 heures, j’ose même pas imaginer si en plus on s’en sert comme télécommande universelle.
il faudra lui greffer une powerbank.
perso je préfère d’autant avoir une télécommande dédiée qui n’aura pas besoin d’un écran haut de gamme et de tout un tas de choses inutiles. L’autonomie s’en retrouvera plus que décupler surtout si c’est pour ne faire tourner qu’un seul programme (que la télécommande soit Android Friendly ou pas).
Et puis a moins que tu vives seul ou alors que tu aies envie que les autres membres de ton foyer t’appellent toute les 5 minutes pour que tu changes de chaine, fermes les volets ou montes le chauffage, je vois très mal l’intérêt pour un appareil censé être utilisé par plusieurs membre d’un foyer.
A moins encore que tu aies envie qu’ils viennent te faire les poches pour se servir de ton smartphone qui de toute façon sera surement verrouillé avec un face id ou empreinte digital.
au pire achète ou récupère un second smartphone juste pour ça.
sinon va vite acheter des actions dans une société de powerbank vu qu’il va falloir équiper toute la famille possédant un smartphone
Le 29/12/2018 à 15h46
Tout dépend ce qu’on appelle utilisation “normale”. De mon côté, que ca soit mon précédent comme l’actuel je les fais tenir entre 2 et 4 jours avec une utilisation tous les jours…
Pour le reste, je suis d’accord avec toi
Le 30/12/2018 à 21h01
Un smartphone de moins de 4000 mAh ne vaut rien
Sinon un grand bravo à Logitech
Le 01/01/2019 à 08h31
La différence, c’est que la harmony, contrairement à la chinoise, permet de piloter plusieurs appareils en même temps avec une seule télécommande. C’est à dire que si j’appuie sur play/pause, ça arrête la lecture sur le lecteur (blu-ray ou kodi, par exemple), et qui si j’appuie sur volume up, ça règle le volume sur l’ampli. Ça n’a l’air de rien, mais c’est ça qui compte le plus à l’usage, en fait.
Par contre, comme tu l’as souligné, l’article parle du hub, effectivement pour le hub, des alternatives sont possibles en « fait maison ».