Connexion
Abonnez-vous

Logitech forcé de réagir après la publication détaillée de failles dans Options

 Logitech forcé de réagir après la publication détaillée de failles dans Options

Le 14 décembre 2018 à 10h51

Le chercheur Tavis Ormandy, connu pour être un actif participant du Project Zero de Google, avait découvert en septembre des problèmes de sécurité dans l’application Options de Logitech, qui permet de personnaliser le comportement des claviers et souris maison.

Cette personnalisation se faisait via l’ouverture d’un serveur WebSocket local très mal protégé, acceptant des commandes potentiellement dangereuses, démarrant automatiquement avec le PC et ne fournissant qu’un système d’authentification décrit comme « apathique », presque inexistant.

Le chercheur dit avoir rencontré les équipes de Logitech le 18 septembre pour leur exposer les différents problèmes. Le constructeur aurait bien pris note et compris ses erreurs. Mais en octobre, la nouvelle version d’Options ne contenait aucun correctif.

S’agissant du Project Zero, Logitech avait 90 jours pour corriger le tir après découverte des failles. Ce délai écoulé, Tavis Ormandy a publié les détails de ses découvertes… provoquant une réaction de Logitech en moins de 48 heures.

Le constructeur a en effet publié la version 7.00.564 d’Options. Il confirme sur Twitter qu’elle corrige bien les soucis soulevés par le chercheur. Sur Twitter, certains notent qu’ils n’étaient donc pas si longs à réparer, soulignant le délai total de réaction.

Dommage une nouvelle fois qu’une entreprise, avertie depuis deux mois, ne réagisse à un problème de sécurité qu’après en avoir été exposée aux détails de manière publique.

Le 14 décembre 2018 à 10h51

Commentaires (10)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Ils sont cons ou quoi chez logitec ? <img data-src=" />

votre avatar

Comme quoi, ça a du bon de rendre les failles publiques (après un délai raisonnable).

votre avatar

M’est avis qu’Options est le logiciel de customisation pour les souris bureautiques de Logitech et que la photo d’illustration est une souris gaming qui n’utilise pas Options, mais plutôt SetPoint.

[/relou]

votre avatar

J’ai eu la même réflexion :

Option c’est pour le matos de bureau et cette souris, une G903 je dirais, utilise logitech gaming software (ou “Logitech Assistant pour jeux vidéo”)

votre avatar

La recherche de MAJ trouve même pas de nouvelles versions… 6.70.1197.

J’ai que des souris logitech depuis 15 ans, ils ont de bonnes souris dans l’ensemble mais ils ont toujours été assez négligeant sur la partie software.

votre avatar







sephirostoy a écrit :



M’est avis qu’Options est le logiciel de customisation pour les souris bureautiques de Logitech et que la photo d’illustration est une souris gaming qui n’utilise pas Options, mais plutôt SetPoint.

[/relou]









tazvld a écrit :



J’ai eu la même réflexion :

Option c’est pour le matos de bureau et cette souris, une G903 je dirais, utilise logitech gaming software (ou “Logitech Assistant pour jeux vidéo”)





Ah voilà ! En voyant la souris je suis aller voir mon logiciel (qui s’appelle effectivement «Logitech Assistant pour jeux vidéo» et jamais entendu parler de Option) et je suis en version 9 !! Du coup je me suis dit «tiens, ils ont plusieurs logiciels en parallèle qui font la même chose.. Super la maintenabilité». Mais en fait celui là est pour la partie bureautique, je comprends mieux !! <img data-src=" />


votre avatar

J’ai une MX Master qui utilise Option et un clavier G13, une souris G903 et un casque G933 qui utilise Logitech Assistant pour jeux vidéo. Mon clavier MX 5500, qui était le clavier dans le kit clavier-souris avec la MX Revolution, utilise SetPoint. A ceci s’ajoute le logiciel Unifying Software pour leur connexion.

pffff… usine à gaz.

votre avatar

Les softs de gestion de chez Logitech ont toujours été des plaies, leurs claviers et souris fonctionnant très bien sans faut vraiment avoir besoin des 2-3 gadgets qu’ils offrent pour installer ces usines à gazs lourdes et généreusement buggées.



J’ai un vieux kit clavier/souris avec un clavier multimedia et une MX1000 (ouais ça date, autant leurs softs sont foireux autant leur matos est excellent), en principe je devrais utiliser Setpoint sauf que Windows (et Linux) gère très bien tout seul les quelques touches de raccourcis dont je me sert donc aucun besoin de rajouter une couche de merde inutile en plus.

votre avatar

La version 7.0.564 ne corrige pas le problème d’après https://bugs.chromium.org/p/project-zero/issues/detail?id=1663



I have tested this before and after updating to 7.0.564 and I could still reproduce the issue.



Looks like Logitech has not fixed the issue yet.

votre avatar

La réponse de Logitech sur ce thread est croustillante <img data-src=" />



Hello,



Could you please provide more information about the issue you’re seeing, and the steps to reproduce it? You can send that information to [email protected].



Thank you,

Logitech

Logitech forcé de réagir après la publication détaillée de failles dans Options

Fermer