Logitech forcé de réagir après la publication détaillée de failles dans Options
Le 14 décembre 2018 à 10h51
2 min
Logiciel
Le chercheur Tavis Ormandy, connu pour être un actif participant du Project Zero de Google, avait découvert en septembre des problèmes de sécurité dans l’application Options de Logitech, qui permet de personnaliser le comportement des claviers et souris maison.
Cette personnalisation se faisait via l’ouverture d’un serveur WebSocket local très mal protégé, acceptant des commandes potentiellement dangereuses, démarrant automatiquement avec le PC et ne fournissant qu’un système d’authentification décrit comme « apathique », presque inexistant.
Le chercheur dit avoir rencontré les équipes de Logitech le 18 septembre pour leur exposer les différents problèmes. Le constructeur aurait bien pris note et compris ses erreurs. Mais en octobre, la nouvelle version d’Options ne contenait aucun correctif.
S’agissant du Project Zero, Logitech avait 90 jours pour corriger le tir après découverte des failles. Ce délai écoulé, Tavis Ormandy a publié les détails de ses découvertes… provoquant une réaction de Logitech en moins de 48 heures.
Le constructeur a en effet publié la version 7.00.564 d’Options. Il confirme sur Twitter qu’elle corrige bien les soucis soulevés par le chercheur. Sur Twitter, certains notent qu’ils n’étaient donc pas si longs à réparer, soulignant le délai total de réaction.
Dommage une nouvelle fois qu’une entreprise, avertie depuis deux mois, ne réagisse à un problème de sécurité qu’après en avoir été exposée aux détails de manière publique.
Le 14 décembre 2018 à 10h51
Commentaires (10)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 14/12/2018 à 10h59
#1
Ils sont cons ou quoi chez logitec ? " />
Le 14/12/2018 à 11h37
#2
Comme quoi, ça a du bon de rendre les failles publiques (après un délai raisonnable).
Le 14/12/2018 à 13h10
#3
M’est avis qu’Options est le logiciel de customisation pour les souris bureautiques de Logitech et que la photo d’illustration est une souris gaming qui n’utilise pas Options, mais plutôt SetPoint.
[/relou]
Le 14/12/2018 à 13h52
#4
J’ai eu la même réflexion :
Option c’est pour le matos de bureau et cette souris, une G903 je dirais, utilise logitech gaming software (ou “Logitech Assistant pour jeux vidéo”)
Le 14/12/2018 à 14h42
#5
La recherche de MAJ trouve même pas de nouvelles versions… 6.70.1197.
J’ai que des souris logitech depuis 15 ans, ils ont de bonnes souris dans l’ensemble mais ils ont toujours été assez négligeant sur la partie software.
Le 14/12/2018 à 15h38
#6
Le 14/12/2018 à 15h49
#7
J’ai une MX Master qui utilise Option et un clavier G13, une souris G903 et un casque G933 qui utilise Logitech Assistant pour jeux vidéo. Mon clavier MX 5500, qui était le clavier dans le kit clavier-souris avec la MX Revolution, utilise SetPoint. A ceci s’ajoute le logiciel Unifying Software pour leur connexion.
pffff… usine à gaz.
Le 14/12/2018 à 16h33
#8
Les softs de gestion de chez Logitech ont toujours été des plaies, leurs claviers et souris fonctionnant très bien sans faut vraiment avoir besoin des 2-3 gadgets qu’ils offrent pour installer ces usines à gazs lourdes et généreusement buggées.
J’ai un vieux kit clavier/souris avec un clavier multimedia et une MX1000 (ouais ça date, autant leurs softs sont foireux autant leur matos est excellent), en principe je devrais utiliser Setpoint sauf que Windows (et Linux) gère très bien tout seul les quelques touches de raccourcis dont je me sert donc aucun besoin de rajouter une couche de merde inutile en plus.
Le 14/12/2018 à 20h54
#9
La version 7.0.564 ne corrige pas le problème d’après https://bugs.chromium.org/p/project-zero/issues/detail?id=1663
I have tested this before and after updating to 7.0.564 and I could still reproduce the issue.
Looks like Logitech has not fixed the issue yet.
Le 15/12/2018 à 15h08
#10
La réponse de Logitech sur ce thread est croustillante " />
Hello,
Could you please provide more information about the issue you’re seeing, and the steps to reproduce it? You can send that information to [email protected].
Thank you,
Logitech