BlackBerry révèle enfin la vulnérabilité de QNX OS affectant les voitures, les équipements hospitaliers et les usines

Blackberry Révèle Enfin La Vulnérabilité De Qnx Os Affectant Les

Facepalm : La divulgation publique des vulnérabilités des logiciels n’est généralement pas une chose à laquelle une entreprise veut faire face. Les correctifs doivent être développés rapidement et l’annonce éventuelle peut au moins temporairement affecter la réputation du développeur. BlackBerry a finalement révélé une faille qu’il connaissait depuis des mois et seulement après l’intervention du Department of Homeland Security.

Mardi, BlackBerry a annoncé une vulnérabilité trouvée dans son système d’exploitation QNX. Le problème de sécurité, surnommé BadAlloc, peut permettre à de mauvais acteurs de désactiver des appareils. Ce qui est troublant, c’est que le système d’exploitation vieillissant est toujours utilisé dans les machines d’usine, les dispositifs médicaux, les équipements ferroviaires, les automobiles et même dans les composants utilisés sur la Station spatiale internationale.

Il est également ennuyeux que BlackBerry ait mis si longtemps à le divulguer, compte tenu de l’équipement vital qu’il alimente. Alors que BlackBerry n’a reconnu la faille que cette semaine, les chercheurs en sécurité de Microsoft l’ont découverte en avril. Ils ont informé les entreprises impliquées dans l’étude, et en mai, ces entreprises ont publiquement divulgué la vulnérabilité avec l’aide de la Cybersecurity and Infrastructure Security Agency (CISA) du Department of Homeland Security.

BlackBerry revele enfin la vulnerabilite de QNX OS affectant les

Politico note que des initiés connaissant la situation ont déclaré que lors de discussions avec les responsables fédéraux de la cybersécurité, BlackBerry a nié que BadAlloc ait affecté ses produits. La société a également résisté à la divulgation publique de la faille de sécurité malgré son incapacité à identifier l’ensemble de sa base de clients QNX.

Les sources ont déclaré que BlackBerry avait débattu du problème avec la CISA concernant la divulgation avant d’accepter finalement de lancer une alerte mardi. Les clients sont invités à mettre à jour vers la dernière version de QNX, qui corrige le trou. La CISA a également émis un avertissement. Le CISA qu’il n’y a aucune indication que la vulnérabilité était activement exploitée.

Crédit image : Ben Stassen (CC BY 2.0)