Blog

Les vulnérabilités de ClickShare ont peut-être été corrigées, mais elles masquent un problème beaucoup plus grave

Matias Madou, Ph.D.
Publié le 28 septembre 2020

Une version de cet article a été publiée dans DevOps.com. Elle a été mise à jour pour la syndication ici, et inclut des liens interactifs vers les défis de vulnérabilité.

Je pense que nous nous souvenons tous d'un moment récent où, lors d'une réunion ou d'une conférence, quelqu'un a eu des problèmes avec la technologie de présentation. Cela arrive si souvent que l'on s'attend presque à une expérience maladroite, du moins au début. Il n'est donc pas surprenant que l'application transparente de ClickShare ait été immédiatement populaire auprès des utilisateurs finaux. Pour eux, il n'y a rien de plus facile que d'utiliser une application ClickShare pour transférer une présentation de leur ordinateur portable, tablette ou smartphone vers un grand écran ou un projecteur de salle de conférence. Le fournisseur belge de technologies de projection numérique et d'imagerie Barco a conçu sa plateforme d'automatisation pour qu'elle fonctionne de cette manière, et les grandes entreprises ont adopté le concept. FutureSource Consulting estime que la part de marché de Barco dans le domaine de la technologie de conférence est de 29 %, avec une intégration dans 40 % des entreprises du classement Fortune 1 000.

Lorsque des chercheurs de F-Secure ont révélé en décembre que cette plateforme d'automatisation apparemment inoffensive était truffée de failles de sécurité, cela a provoqué une onde de choc dans le monde des affaires. Les failles de sécurité découvertes sont de nature critique et pourraient potentiellement permettre un certain nombre d'activités malveillantes.

Les chercheurs ont démontré comment les vulnérabilités pouvaient permettre à des utilisateurs distants d'espionner des présentations actives, de créer des portes dérobées dans des réseaux sécurisés ou même de configurer un serveur de distribution de logiciels espions qui infecterait chaque utilisateur se connectant à un appareil Barco. Soudain, les entreprises se sont trouvées confrontées à la perspective d'avoir de sérieux problèmes de sécurité installés directement dans les salles de conférence et les bureaux de toute leur organisation. Et en raison de la nature des vulnérabilités, un seul appareil compromis pouvait être à l'origine d'une violation à l'échelle du réseau.

"Un attaquant qui a réussi à compromettre une unité acquiert la capacité de décrypter et de produire des images cryptées valides pour n'importe quelle unité, que ce soit au sein d'une même famille ou d'une famille à l'autre", écrivent les responsables de F-Secure dans leur rapport. "En outre, un tel attaquant peut accéder à des données sensibles au repos, telles que le PSK Wi-Fi configuré et les certificats.

À sa décharge, Barco s'est montrée extrêmement proactive en publiant des correctifs et en corrigeant les vulnérabilités trouvées dans ses produits. L'éditeur de solutions de sécurité Tenable a récemment publié un rapport faisant état de 15 failles dans huit outils de présentation, dont Barco. Depuis février, seule Barco a déployé des correctifs.

Bien que certaines des vulnérabilités de Barco nécessitent des modifications matérielles (et celles-ci seront un cauchemar à déployer, si une entreprise agit à ce point pour les sécuriser), beaucoup d'entre elles peuvent être corrigées avec des correctifs logiciels. La plupart des entreprises utilisatrices disposent ainsi d'un plan apparemment satisfaisant pour résoudre leurs problèmes immédiats, mais elles ne sont pas au bout de leurs peines. Les problèmes de Barco ne sont que la partie émergée de l'iceberg lorsqu'il s'agit de traiter les vulnérabilités de produits matériels et logiciels bien connus.

La racine du problème

Maintenant que les problèmes immédiats ont été résolus, nous devons nous demander comment des appareils présentant de graves failles de sécurité se sont retrouvés dans des milliers de salles de conférence à travers le monde, ou pourquoi ils ont été si mal conçus et programmés en premier lieu. Ce n'est pas comme si l'équipe de F-Secure avait découvert des vulnérabilités de type "zero-day" ou inconnues jusqu'alors. Dix des failles découvertes dans les produits Barco étaient associées à des vulnérabilités bien connues et courantes, telles que les attaques par injection de code. La plupart d'entre elles étaient déjà identifiées par le système CVE (Common Vulnerabilities and Exposures).

Comment des CVE vieilles de plusieurs dizaines d'années ont-elles pu être codées, voire câblées, dans des outils de présentation modernes ? La seule réponse possible est que les développeurs ne les connaissaient pas ou que la sécurité n'était pas une priorité lors de la conception des appareils Barco. Malheureusement, il s'agit d'une situation courante, qui n'est certainement pas l'apanage des équipes de Barco.

Le meilleur moment pour corriger une vulnérabilité est pendant le développement d'une application, bien avant qu'elle ne soit envoyée aux utilisateurs. Le pire moment (et le plus coûteux) est celui où le produit a été déployé ou exploité par des pirates. Il s'agit là d'une leçon difficile, que Barco ne manquera pas d'apprendre, car sa part de marché, autrefois impénétrable, a été réduite à la suite de ce fiasco de sécurité.

Il n'est pas facile de ramener les correctifs de sécurité vers le processus de développement, mais c'est nécessaire dans le monde d'aujourd'hui où même des dispositifs apparemment simples comme les outils de présentation sont à la fois étonnamment complexes et en réseau avec tout le reste. Dans cet environnement, la sécurité doit devenir une meilleure pratique organisationnelle. Qu'une entreprise programme des applications pour les médias sociaux ou fabrique des grille-pains intelligents, la sécurité doit être prise en compte dans toutes les facettes de l'organisation.

Donner la priorité aux meilleures pratiques en matière de sécurité et en faire une responsabilité partagée est l'objectif du mouvement DevSecOps, dans lequel les équipes de développement, de sécurité et d'exploitation travaillent ensemble pour coder et déployer des logiciels et des produits sécurisés. Cela nécessite autant un changement de culture qu'autre chose. Le nouvel état d'esprit doit être que le déploiement d'un produit fonctionnel présentant des vulnérabilités de sécurité est un échec au même titre que la création d'un produit incapable de remplir sa fonction principale.

Dans un environnement DevSecOps sain, toute personne touchant à un logiciel devrait être sensibilisée à la sécurité, les développeurs recevant des formations pertinentes et fréquentes pour éviter d'introduire des bogues désastreux dans leur travail. Si les équipes travaillant pour Barco avaient considéré la sécurité comme une responsabilité partagée, il est impossible qu'une telle collection de vulnérabilités, y compris des CVE vieux de plusieurs décennies, se soit retrouvée dans leurs outils de présentation.

La voie de la sécurité

Personne ne veut être le prochain Barco à devoir expliquer pourquoi des failles de sécurité bien connues ont été déployées par l'intermédiaire de leurs appareils sur des milliers de réseaux d'entreprise dans le monde entier. Pour éviter ce sort, les entreprises qui développent des logiciels ou du matériel intelligent doivent immédiatement donner la priorité à la sécurité en tant que responsabilité partagée et meilleure pratique organisationnelle. La création d'un programme DevSecOps sain prendra du temps et nécessitera probablement un changement de culture, mais les résultats en vaudront largement la peine. Un programme DevSecOps solide peut éliminer les vulnérabilités bien avant qu'elles ne causent des problèmes.

Les entreprises qui achètent des produits et des logiciels ont tout intérêt à soutenir celles qui ont adopté DevSecOps. Ce faisant, elles s'assureront que les appareils et les logiciels qu'elles achètent ne sont pas des bombes à retardement attendant d'être exploitées par des attaquants de plus en plus habiles.

Consultez les pages du Secure Code Warrior pour en savoir plus sur DevSecOps et sur la manière de protéger votre organisation et vos clients des ravages causés par les failles de sécurité et les vulnérabilités.

Vous souhaitez vous plonger dans les problèmes de sécurité rencontrés par Barco ?

Jouez à ces défis ludiques sur :

Voir la ressource
Voir la ressource

Il n'est pas facile de réorienter les correctifs de sécurité vers le processus de développement, mais cela est nécessaire dans le monde d'aujourd'hui où même des appareils apparemment simples comme les outils de présentation sont à la fois étonnamment complexes et reliés en réseau à tout le reste.

Vous souhaitez en savoir plus ?

Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Réservez une démonstration
Partager sur :
Auteur
Matias Madou, Ph.D.
Publié le 28 septembre 2020

Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.

Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.

Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.

Partager sur :

Une version de cet article a été publiée dans DevOps.com. Elle a été mise à jour pour la syndication ici, et inclut des liens interactifs vers les défis de vulnérabilité.

Je pense que nous nous souvenons tous d'un moment récent où, lors d'une réunion ou d'une conférence, quelqu'un a eu des problèmes avec la technologie de présentation. Cela arrive si souvent que l'on s'attend presque à une expérience maladroite, du moins au début. Il n'est donc pas surprenant que l'application transparente de ClickShare ait été immédiatement populaire auprès des utilisateurs finaux. Pour eux, il n'y a rien de plus facile que d'utiliser une application ClickShare pour transférer une présentation de leur ordinateur portable, tablette ou smartphone vers un grand écran ou un projecteur de salle de conférence. Le fournisseur belge de technologies de projection numérique et d'imagerie Barco a conçu sa plateforme d'automatisation pour qu'elle fonctionne de cette manière, et les grandes entreprises ont adopté le concept. FutureSource Consulting estime que la part de marché de Barco dans le domaine de la technologie de conférence est de 29 %, avec une intégration dans 40 % des entreprises du classement Fortune 1 000.

Lorsque des chercheurs de F-Secure ont révélé en décembre que cette plateforme d'automatisation apparemment inoffensive était truffée de failles de sécurité, cela a provoqué une onde de choc dans le monde des affaires. Les failles de sécurité découvertes sont de nature critique et pourraient potentiellement permettre un certain nombre d'activités malveillantes.

Les chercheurs ont démontré comment les vulnérabilités pouvaient permettre à des utilisateurs distants d'espionner des présentations actives, de créer des portes dérobées dans des réseaux sécurisés ou même de configurer un serveur de distribution de logiciels espions qui infecterait chaque utilisateur se connectant à un appareil Barco. Soudain, les entreprises se sont trouvées confrontées à la perspective d'avoir de sérieux problèmes de sécurité installés directement dans les salles de conférence et les bureaux de toute leur organisation. Et en raison de la nature des vulnérabilités, un seul appareil compromis pouvait être à l'origine d'une violation à l'échelle du réseau.

"Un attaquant qui a réussi à compromettre une unité acquiert la capacité de décrypter et de produire des images cryptées valides pour n'importe quelle unité, que ce soit au sein d'une même famille ou d'une famille à l'autre", écrivent les responsables de F-Secure dans leur rapport. "En outre, un tel attaquant peut accéder à des données sensibles au repos, telles que le PSK Wi-Fi configuré et les certificats.

À sa décharge, Barco s'est montrée extrêmement proactive en publiant des correctifs et en corrigeant les vulnérabilités trouvées dans ses produits. L'éditeur de solutions de sécurité Tenable a récemment publié un rapport faisant état de 15 failles dans huit outils de présentation, dont Barco. Depuis février, seule Barco a déployé des correctifs.

Bien que certaines des vulnérabilités de Barco nécessitent des modifications matérielles (et celles-ci seront un cauchemar à déployer, si une entreprise agit à ce point pour les sécuriser), beaucoup d'entre elles peuvent être corrigées avec des correctifs logiciels. La plupart des entreprises utilisatrices disposent ainsi d'un plan apparemment satisfaisant pour résoudre leurs problèmes immédiats, mais elles ne sont pas au bout de leurs peines. Les problèmes de Barco ne sont que la partie émergée de l'iceberg lorsqu'il s'agit de traiter les vulnérabilités de produits matériels et logiciels bien connus.

La racine du problème

Maintenant que les problèmes immédiats ont été résolus, nous devons nous demander comment des appareils présentant de graves failles de sécurité se sont retrouvés dans des milliers de salles de conférence à travers le monde, ou pourquoi ils ont été si mal conçus et programmés en premier lieu. Ce n'est pas comme si l'équipe de F-Secure avait découvert des vulnérabilités de type "zero-day" ou inconnues jusqu'alors. Dix des failles découvertes dans les produits Barco étaient associées à des vulnérabilités bien connues et courantes, telles que les attaques par injection de code. La plupart d'entre elles étaient déjà identifiées par le système CVE (Common Vulnerabilities and Exposures).

Comment des CVE vieilles de plusieurs dizaines d'années ont-elles pu être codées, voire câblées, dans des outils de présentation modernes ? La seule réponse possible est que les développeurs ne les connaissaient pas ou que la sécurité n'était pas une priorité lors de la conception des appareils Barco. Malheureusement, il s'agit d'une situation courante, qui n'est certainement pas l'apanage des équipes de Barco.

Le meilleur moment pour corriger une vulnérabilité est pendant le développement d'une application, bien avant qu'elle ne soit envoyée aux utilisateurs. Le pire moment (et le plus coûteux) est celui où le produit a été déployé ou exploité par des pirates. Il s'agit là d'une leçon difficile, que Barco ne manquera pas d'apprendre, car sa part de marché, autrefois impénétrable, a été réduite à la suite de ce fiasco de sécurité.

Il n'est pas facile de ramener les correctifs de sécurité vers le processus de développement, mais c'est nécessaire dans le monde d'aujourd'hui où même des dispositifs apparemment simples comme les outils de présentation sont à la fois étonnamment complexes et en réseau avec tout le reste. Dans cet environnement, la sécurité doit devenir une meilleure pratique organisationnelle. Qu'une entreprise programme des applications pour les médias sociaux ou fabrique des grille-pains intelligents, la sécurité doit être prise en compte dans toutes les facettes de l'organisation.

Donner la priorité aux meilleures pratiques en matière de sécurité et en faire une responsabilité partagée est l'objectif du mouvement DevSecOps, dans lequel les équipes de développement, de sécurité et d'exploitation travaillent ensemble pour coder et déployer des logiciels et des produits sécurisés. Cela nécessite autant un changement de culture qu'autre chose. Le nouvel état d'esprit doit être que le déploiement d'un produit fonctionnel présentant des vulnérabilités de sécurité est un échec au même titre que la création d'un produit incapable de remplir sa fonction principale.

Dans un environnement DevSecOps sain, toute personne touchant à un logiciel devrait être sensibilisée à la sécurité, les développeurs recevant des formations pertinentes et fréquentes pour éviter d'introduire des bogues désastreux dans leur travail. Si les équipes travaillant pour Barco avaient considéré la sécurité comme une responsabilité partagée, il est impossible qu'une telle collection de vulnérabilités, y compris des CVE vieux de plusieurs décennies, se soit retrouvée dans leurs outils de présentation.

La voie de la sécurité

Personne ne veut être le prochain Barco à devoir expliquer pourquoi des failles de sécurité bien connues ont été déployées par l'intermédiaire de leurs appareils sur des milliers de réseaux d'entreprise dans le monde entier. Pour éviter ce sort, les entreprises qui développent des logiciels ou du matériel intelligent doivent immédiatement donner la priorité à la sécurité en tant que responsabilité partagée et meilleure pratique organisationnelle. La création d'un programme DevSecOps sain prendra du temps et nécessitera probablement un changement de culture, mais les résultats en vaudront largement la peine. Un programme DevSecOps solide peut éliminer les vulnérabilités bien avant qu'elles ne causent des problèmes.

Les entreprises qui achètent des produits et des logiciels ont tout intérêt à soutenir celles qui ont adopté DevSecOps. Ce faisant, elles s'assureront que les appareils et les logiciels qu'elles achètent ne sont pas des bombes à retardement attendant d'être exploitées par des attaquants de plus en plus habiles.

Consultez les pages du Secure Code Warrior pour en savoir plus sur DevSecOps et sur la manière de protéger votre organisation et vos clients des ravages causés par les failles de sécurité et les vulnérabilités.

Vous souhaitez vous plonger dans les problèmes de sécurité rencontrés par Barco ?

Jouez à ces défis ludiques sur :

Voir la ressource
Voir la ressource

Remplissez le formulaire ci-dessous pour télécharger le rapport

Nous aimerions que vous nous autorisiez à vous envoyer des informations sur nos produits et/ou sur des sujets liés au codage sécurisé. Nous traiterons toujours vos données personnelles avec le plus grand soin et ne les vendrons jamais à d'autres entreprises à des fins de marketing.

Soumettre
Pour soumettre le formulaire, veuillez activer les cookies "Analytics". N'hésitez pas à les désactiver à nouveau une fois que vous aurez terminé.

Une version de cet article a été publiée dans DevOps.com. Elle a été mise à jour pour la syndication ici, et inclut des liens interactifs vers les défis de vulnérabilité.

Je pense que nous nous souvenons tous d'un moment récent où, lors d'une réunion ou d'une conférence, quelqu'un a eu des problèmes avec la technologie de présentation. Cela arrive si souvent que l'on s'attend presque à une expérience maladroite, du moins au début. Il n'est donc pas surprenant que l'application transparente de ClickShare ait été immédiatement populaire auprès des utilisateurs finaux. Pour eux, il n'y a rien de plus facile que d'utiliser une application ClickShare pour transférer une présentation de leur ordinateur portable, tablette ou smartphone vers un grand écran ou un projecteur de salle de conférence. Le fournisseur belge de technologies de projection numérique et d'imagerie Barco a conçu sa plateforme d'automatisation pour qu'elle fonctionne de cette manière, et les grandes entreprises ont adopté le concept. FutureSource Consulting estime que la part de marché de Barco dans le domaine de la technologie de conférence est de 29 %, avec une intégration dans 40 % des entreprises du classement Fortune 1 000.

Lorsque des chercheurs de F-Secure ont révélé en décembre que cette plateforme d'automatisation apparemment inoffensive était truffée de failles de sécurité, cela a provoqué une onde de choc dans le monde des affaires. Les failles de sécurité découvertes sont de nature critique et pourraient potentiellement permettre un certain nombre d'activités malveillantes.

Les chercheurs ont démontré comment les vulnérabilités pouvaient permettre à des utilisateurs distants d'espionner des présentations actives, de créer des portes dérobées dans des réseaux sécurisés ou même de configurer un serveur de distribution de logiciels espions qui infecterait chaque utilisateur se connectant à un appareil Barco. Soudain, les entreprises se sont trouvées confrontées à la perspective d'avoir de sérieux problèmes de sécurité installés directement dans les salles de conférence et les bureaux de toute leur organisation. Et en raison de la nature des vulnérabilités, un seul appareil compromis pouvait être à l'origine d'une violation à l'échelle du réseau.

"Un attaquant qui a réussi à compromettre une unité acquiert la capacité de décrypter et de produire des images cryptées valides pour n'importe quelle unité, que ce soit au sein d'une même famille ou d'une famille à l'autre", écrivent les responsables de F-Secure dans leur rapport. "En outre, un tel attaquant peut accéder à des données sensibles au repos, telles que le PSK Wi-Fi configuré et les certificats.

À sa décharge, Barco s'est montrée extrêmement proactive en publiant des correctifs et en corrigeant les vulnérabilités trouvées dans ses produits. L'éditeur de solutions de sécurité Tenable a récemment publié un rapport faisant état de 15 failles dans huit outils de présentation, dont Barco. Depuis février, seule Barco a déployé des correctifs.

Bien que certaines des vulnérabilités de Barco nécessitent des modifications matérielles (et celles-ci seront un cauchemar à déployer, si une entreprise agit à ce point pour les sécuriser), beaucoup d'entre elles peuvent être corrigées avec des correctifs logiciels. La plupart des entreprises utilisatrices disposent ainsi d'un plan apparemment satisfaisant pour résoudre leurs problèmes immédiats, mais elles ne sont pas au bout de leurs peines. Les problèmes de Barco ne sont que la partie émergée de l'iceberg lorsqu'il s'agit de traiter les vulnérabilités de produits matériels et logiciels bien connus.

La racine du problème

Maintenant que les problèmes immédiats ont été résolus, nous devons nous demander comment des appareils présentant de graves failles de sécurité se sont retrouvés dans des milliers de salles de conférence à travers le monde, ou pourquoi ils ont été si mal conçus et programmés en premier lieu. Ce n'est pas comme si l'équipe de F-Secure avait découvert des vulnérabilités de type "zero-day" ou inconnues jusqu'alors. Dix des failles découvertes dans les produits Barco étaient associées à des vulnérabilités bien connues et courantes, telles que les attaques par injection de code. La plupart d'entre elles étaient déjà identifiées par le système CVE (Common Vulnerabilities and Exposures).

Comment des CVE vieilles de plusieurs dizaines d'années ont-elles pu être codées, voire câblées, dans des outils de présentation modernes ? La seule réponse possible est que les développeurs ne les connaissaient pas ou que la sécurité n'était pas une priorité lors de la conception des appareils Barco. Malheureusement, il s'agit d'une situation courante, qui n'est certainement pas l'apanage des équipes de Barco.

Le meilleur moment pour corriger une vulnérabilité est pendant le développement d'une application, bien avant qu'elle ne soit envoyée aux utilisateurs. Le pire moment (et le plus coûteux) est celui où le produit a été déployé ou exploité par des pirates. Il s'agit là d'une leçon difficile, que Barco ne manquera pas d'apprendre, car sa part de marché, autrefois impénétrable, a été réduite à la suite de ce fiasco de sécurité.

Il n'est pas facile de ramener les correctifs de sécurité vers le processus de développement, mais c'est nécessaire dans le monde d'aujourd'hui où même des dispositifs apparemment simples comme les outils de présentation sont à la fois étonnamment complexes et en réseau avec tout le reste. Dans cet environnement, la sécurité doit devenir une meilleure pratique organisationnelle. Qu'une entreprise programme des applications pour les médias sociaux ou fabrique des grille-pains intelligents, la sécurité doit être prise en compte dans toutes les facettes de l'organisation.

Donner la priorité aux meilleures pratiques en matière de sécurité et en faire une responsabilité partagée est l'objectif du mouvement DevSecOps, dans lequel les équipes de développement, de sécurité et d'exploitation travaillent ensemble pour coder et déployer des logiciels et des produits sécurisés. Cela nécessite autant un changement de culture qu'autre chose. Le nouvel état d'esprit doit être que le déploiement d'un produit fonctionnel présentant des vulnérabilités de sécurité est un échec au même titre que la création d'un produit incapable de remplir sa fonction principale.

Dans un environnement DevSecOps sain, toute personne touchant à un logiciel devrait être sensibilisée à la sécurité, les développeurs recevant des formations pertinentes et fréquentes pour éviter d'introduire des bogues désastreux dans leur travail. Si les équipes travaillant pour Barco avaient considéré la sécurité comme une responsabilité partagée, il est impossible qu'une telle collection de vulnérabilités, y compris des CVE vieux de plusieurs décennies, se soit retrouvée dans leurs outils de présentation.

La voie de la sécurité

Personne ne veut être le prochain Barco à devoir expliquer pourquoi des failles de sécurité bien connues ont été déployées par l'intermédiaire de leurs appareils sur des milliers de réseaux d'entreprise dans le monde entier. Pour éviter ce sort, les entreprises qui développent des logiciels ou du matériel intelligent doivent immédiatement donner la priorité à la sécurité en tant que responsabilité partagée et meilleure pratique organisationnelle. La création d'un programme DevSecOps sain prendra du temps et nécessitera probablement un changement de culture, mais les résultats en vaudront largement la peine. Un programme DevSecOps solide peut éliminer les vulnérabilités bien avant qu'elles ne causent des problèmes.

Les entreprises qui achètent des produits et des logiciels ont tout intérêt à soutenir celles qui ont adopté DevSecOps. Ce faisant, elles s'assureront que les appareils et les logiciels qu'elles achètent ne sont pas des bombes à retardement attendant d'être exploitées par des attaquants de plus en plus habiles.

Consultez les pages du Secure Code Warrior pour en savoir plus sur DevSecOps et sur la manière de protéger votre organisation et vos clients des ravages causés par les failles de sécurité et les vulnérabilités.

Vous souhaitez vous plonger dans les problèmes de sécurité rencontrés par Barco ?

Jouez à ces défis ludiques sur :

Accès aux ressources

Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Voir le rapportRéservez une démonstration
Partager sur :
Vous souhaitez en savoir plus ?

Partager sur :
Auteur
Matias Madou, Ph.D.
Publié le 28 septembre 2020

Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.

Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.

Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.

Partager sur :

Une version de cet article a été publiée dans DevOps.com. Elle a été mise à jour pour la syndication ici, et inclut des liens interactifs vers les défis de vulnérabilité.

Je pense que nous nous souvenons tous d'un moment récent où, lors d'une réunion ou d'une conférence, quelqu'un a eu des problèmes avec la technologie de présentation. Cela arrive si souvent que l'on s'attend presque à une expérience maladroite, du moins au début. Il n'est donc pas surprenant que l'application transparente de ClickShare ait été immédiatement populaire auprès des utilisateurs finaux. Pour eux, il n'y a rien de plus facile que d'utiliser une application ClickShare pour transférer une présentation de leur ordinateur portable, tablette ou smartphone vers un grand écran ou un projecteur de salle de conférence. Le fournisseur belge de technologies de projection numérique et d'imagerie Barco a conçu sa plateforme d'automatisation pour qu'elle fonctionne de cette manière, et les grandes entreprises ont adopté le concept. FutureSource Consulting estime que la part de marché de Barco dans le domaine de la technologie de conférence est de 29 %, avec une intégration dans 40 % des entreprises du classement Fortune 1 000.

Lorsque des chercheurs de F-Secure ont révélé en décembre que cette plateforme d'automatisation apparemment inoffensive était truffée de failles de sécurité, cela a provoqué une onde de choc dans le monde des affaires. Les failles de sécurité découvertes sont de nature critique et pourraient potentiellement permettre un certain nombre d'activités malveillantes.

Les chercheurs ont démontré comment les vulnérabilités pouvaient permettre à des utilisateurs distants d'espionner des présentations actives, de créer des portes dérobées dans des réseaux sécurisés ou même de configurer un serveur de distribution de logiciels espions qui infecterait chaque utilisateur se connectant à un appareil Barco. Soudain, les entreprises se sont trouvées confrontées à la perspective d'avoir de sérieux problèmes de sécurité installés directement dans les salles de conférence et les bureaux de toute leur organisation. Et en raison de la nature des vulnérabilités, un seul appareil compromis pouvait être à l'origine d'une violation à l'échelle du réseau.

"Un attaquant qui a réussi à compromettre une unité acquiert la capacité de décrypter et de produire des images cryptées valides pour n'importe quelle unité, que ce soit au sein d'une même famille ou d'une famille à l'autre", écrivent les responsables de F-Secure dans leur rapport. "En outre, un tel attaquant peut accéder à des données sensibles au repos, telles que le PSK Wi-Fi configuré et les certificats.

À sa décharge, Barco s'est montrée extrêmement proactive en publiant des correctifs et en corrigeant les vulnérabilités trouvées dans ses produits. L'éditeur de solutions de sécurité Tenable a récemment publié un rapport faisant état de 15 failles dans huit outils de présentation, dont Barco. Depuis février, seule Barco a déployé des correctifs.

Bien que certaines des vulnérabilités de Barco nécessitent des modifications matérielles (et celles-ci seront un cauchemar à déployer, si une entreprise agit à ce point pour les sécuriser), beaucoup d'entre elles peuvent être corrigées avec des correctifs logiciels. La plupart des entreprises utilisatrices disposent ainsi d'un plan apparemment satisfaisant pour résoudre leurs problèmes immédiats, mais elles ne sont pas au bout de leurs peines. Les problèmes de Barco ne sont que la partie émergée de l'iceberg lorsqu'il s'agit de traiter les vulnérabilités de produits matériels et logiciels bien connus.

La racine du problème

Maintenant que les problèmes immédiats ont été résolus, nous devons nous demander comment des appareils présentant de graves failles de sécurité se sont retrouvés dans des milliers de salles de conférence à travers le monde, ou pourquoi ils ont été si mal conçus et programmés en premier lieu. Ce n'est pas comme si l'équipe de F-Secure avait découvert des vulnérabilités de type "zero-day" ou inconnues jusqu'alors. Dix des failles découvertes dans les produits Barco étaient associées à des vulnérabilités bien connues et courantes, telles que les attaques par injection de code. La plupart d'entre elles étaient déjà identifiées par le système CVE (Common Vulnerabilities and Exposures).

Comment des CVE vieilles de plusieurs dizaines d'années ont-elles pu être codées, voire câblées, dans des outils de présentation modernes ? La seule réponse possible est que les développeurs ne les connaissaient pas ou que la sécurité n'était pas une priorité lors de la conception des appareils Barco. Malheureusement, il s'agit d'une situation courante, qui n'est certainement pas l'apanage des équipes de Barco.

Le meilleur moment pour corriger une vulnérabilité est pendant le développement d'une application, bien avant qu'elle ne soit envoyée aux utilisateurs. Le pire moment (et le plus coûteux) est celui où le produit a été déployé ou exploité par des pirates. Il s'agit là d'une leçon difficile, que Barco ne manquera pas d'apprendre, car sa part de marché, autrefois impénétrable, a été réduite à la suite de ce fiasco de sécurité.

Il n'est pas facile de ramener les correctifs de sécurité vers le processus de développement, mais c'est nécessaire dans le monde d'aujourd'hui où même des dispositifs apparemment simples comme les outils de présentation sont à la fois étonnamment complexes et en réseau avec tout le reste. Dans cet environnement, la sécurité doit devenir une meilleure pratique organisationnelle. Qu'une entreprise programme des applications pour les médias sociaux ou fabrique des grille-pains intelligents, la sécurité doit être prise en compte dans toutes les facettes de l'organisation.

Donner la priorité aux meilleures pratiques en matière de sécurité et en faire une responsabilité partagée est l'objectif du mouvement DevSecOps, dans lequel les équipes de développement, de sécurité et d'exploitation travaillent ensemble pour coder et déployer des logiciels et des produits sécurisés. Cela nécessite autant un changement de culture qu'autre chose. Le nouvel état d'esprit doit être que le déploiement d'un produit fonctionnel présentant des vulnérabilités de sécurité est un échec au même titre que la création d'un produit incapable de remplir sa fonction principale.

Dans un environnement DevSecOps sain, toute personne touchant à un logiciel devrait être sensibilisée à la sécurité, les développeurs recevant des formations pertinentes et fréquentes pour éviter d'introduire des bogues désastreux dans leur travail. Si les équipes travaillant pour Barco avaient considéré la sécurité comme une responsabilité partagée, il est impossible qu'une telle collection de vulnérabilités, y compris des CVE vieux de plusieurs décennies, se soit retrouvée dans leurs outils de présentation.

La voie de la sécurité

Personne ne veut être le prochain Barco à devoir expliquer pourquoi des failles de sécurité bien connues ont été déployées par l'intermédiaire de leurs appareils sur des milliers de réseaux d'entreprise dans le monde entier. Pour éviter ce sort, les entreprises qui développent des logiciels ou du matériel intelligent doivent immédiatement donner la priorité à la sécurité en tant que responsabilité partagée et meilleure pratique organisationnelle. La création d'un programme DevSecOps sain prendra du temps et nécessitera probablement un changement de culture, mais les résultats en vaudront largement la peine. Un programme DevSecOps solide peut éliminer les vulnérabilités bien avant qu'elles ne causent des problèmes.

Les entreprises qui achètent des produits et des logiciels ont tout intérêt à soutenir celles qui ont adopté DevSecOps. Ce faisant, elles s'assureront que les appareils et les logiciels qu'elles achètent ne sont pas des bombes à retardement attendant d'être exploitées par des attaquants de plus en plus habiles.

Consultez les pages du Secure Code Warrior pour en savoir plus sur DevSecOps et sur la manière de protéger votre organisation et vos clients des ravages causés par les failles de sécurité et les vulnérabilités.

Vous souhaitez vous plonger dans les problèmes de sécurité rencontrés par Barco ?

Jouez à ces défis ludiques sur :

Table des matières

Voir la ressource
Vous souhaitez en savoir plus ?

Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Réservez une démonstrationTélécharger
Partager sur :
Centre de ressources

Ressources pour vous aider à démarrer

Plus d'articles
Centre de ressources

Ressources pour vous aider à démarrer

Plus d'articles