Samsung, fier champion du déploiement de patch

Actualités - Alerte - Posté on 13 Jan 2009 at 8:56 par cnis-mag

engineering-fountain-by-sahansGene Spafford, Chef Sécurité, spécialiste de la recherche de preuves informatiques et du contre-espionnage de l’Université de Purdue, blogue un billet de mécontentement à propos de son dernier cadeau de noël : un couple de lecteurs Samsung « Blue Ray ». Des bijoux de technologie, des tourne-disques des temps modernes qui nécessitent un accès Internet, tant pour diverses fonctions liées aux loisirs interactifs que pour… les mises à jour de firmware. Car il y a de l’intelligence à revendre, dans ces produits bruns. Quelques jours après les premières mises en service, l’un des appareils tombe en panne, pour une raison totalement inconnue. Le SAV Samsung attend encore, semble-t-il, certaines pièces de rechange. Spafford n’en a cure, et se rabat sur le lecteur Numéro Deux. Lequel, dès sa mise sous tension, augmente brusquement celle de son propriétaire en réclamant une « mise à niveau ». L’expert en techno-catastrophe, spécialiste du close-combat contre les Service Pack et instructeur-démineur spécialiste des bugs-dans-les-correctifs-de-bugs, décide de temporiser, d’attendre quelques semaines… en espérant tomber un jour sur une rustine dépourvue de trou. Peine perdue à Purdue : la rustine retardée s’avérait mortelle et Numéro Deux trépassa. La faute à une mauvaise version… « non Monsieur, nous ne savons pas si et quand ce problème pourra être résolu… de toute manière, nous avons bon espoir de corriger cette erreur dans le courant du mois… ». Bref, conclut Gene Spafford, les cercles de contrôle qualité qui ont fait la fierté de l’industrie Japonaise ne sont plus ce qu’ils étaient. Tout cela confirme la théorie énoncée en début d’article : il y a quelque chose de pourri dans tous ces processus de mise à jour en ligne. Il suffit d’un accident du « master » ou une compromission du système d’authentification garantissant l’identité de l’émetteur pour que toute une frange de la population cliente soit rayée de la carte des systèmes opérationnels. Thierry Zoller avait, il y a longtemps déjà, dénoncé ces risques en critiquant les mécanismes de mise à jour de Zango, alias Gator, le « spyware commercial qui n’est pas un spyware ».

Tant que ces risques ne touchaient que les biens informatiques –autrement dit des outils organisationnels- l’homo-technicus informatensis vivait dans le secret espoir de pouvoir survivre, en s’appuyant sur des grigris technologiques : certificats, firewalls, IPS, quarantaines, tests de non-régression etc. En d’autres termes, en cherchant à parer avant même que le danger survienne, une bévue émise par un éditeur que l’on sait pertinemment « non fiable ». L’informatique embarquée, l’omniprésence du Web « deuxzéro » que même les plus incompétents des politiciens utilisent « tous les jours », la course à la vente de services venant s’ajouter à chaque appareil, du ratatine-ordure à l’épluche-bébé, tout çà pourrait bien provoquer de formidables campagnes de hack, de titanesques attaques en déni de service. Et l’on reparle du virus qui frappe les réfrigérateurs, de l’écran bleu qui verrouille la porte d’entrée du conapt, du « bug des TV Thomson » ou du « crash update des Xantia II modèle 2010 ». La modernitude de notre époque ne doit son mérite qu’à la lumière des erreurs passées.

Laisser une réponse