Les vulnérabilités de ClickShare ont peut-être été corrigées, mais elles masquent un problème beaucoup plus grave
Une version de cet article a été publiée dans DevOps.com. Elle a été mise à jour pour la syndication ici, et inclut des liens interactifs vers les défis de vulnérabilité.
Je pense que nous nous souvenons tous d'un moment récent où, lors d'une réunion ou d'une conférence, quelqu'un a eu des problèmes avec la technologie de présentation. Cela arrive si souvent que l'on s'attend presque à une expérience maladroite, du moins au début. Il n'est donc pas surprenant que l'application transparente de ClickShare ait été immédiatement populaire auprès des utilisateurs finaux. Pour eux, il n'y a rien de plus facile que d'utiliser une application ClickShare pour transférer une présentation de leur ordinateur portable, tablette ou smartphone vers un grand écran ou un projecteur de salle de conférence. Le fournisseur belge de technologies de projection numérique et d'imagerie Barco a conçu sa plateforme d'automatisation pour qu'elle fonctionne de cette manière, et les grandes entreprises ont adopté le concept. FutureSource Consulting estime que la part de marché de Barco dans le domaine de la technologie de conférence est de 29 %, avec une intégration dans 40 % des entreprises du classement Fortune 1 000.
Lorsque des chercheurs de F-Secure ont révélé en décembre que cette plateforme d'automatisation apparemment inoffensive était truffée de failles de sécurité, cela a provoqué une onde de choc dans le monde des affaires. Les failles de sécurité découvertes sont de nature critique et pourraient potentiellement permettre un certain nombre d'activités malveillantes.
Les chercheurs ont démontré comment les vulnérabilités pouvaient permettre à des utilisateurs distants d'espionner des présentations actives, de créer des portes dérobées dans des réseaux sécurisés ou même de configurer un serveur de distribution de logiciels espions qui infecterait chaque utilisateur se connectant à un appareil Barco. Soudain, les entreprises se sont trouvées confrontées à la perspective d'avoir de sérieux problèmes de sécurité installés directement dans les salles de conférence et les bureaux de toute leur organisation. Et en raison de la nature des vulnérabilités, un seul appareil compromis pouvait être à l'origine d'une violation à l'échelle du réseau.
"Un attaquant qui a réussi à compromettre une unité acquiert la capacité de décrypter et de produire des images cryptées valides pour n'importe quelle unité, que ce soit au sein d'une même famille ou d'une famille à l'autre", écrivent les responsables de F-Secure dans leur rapport. "En outre, un tel attaquant peut accéder à des données sensibles au repos, telles que le PSK Wi-Fi configuré et les certificats.
À sa décharge, Barco s'est montrée extrêmement proactive en publiant des correctifs et en corrigeant les vulnérabilités trouvées dans ses produits. L'éditeur de solutions de sécurité Tenable a récemment publié un rapport faisant état de 15 failles dans huit outils de présentation, dont Barco. Depuis février, seule Barco a déployé des correctifs.
Bien que certaines des vulnérabilités de Barco nécessitent des modifications matérielles (et celles-ci seront un cauchemar à déployer, si une entreprise agit à ce point pour les sécuriser), beaucoup d'entre elles peuvent être corrigées avec des correctifs logiciels. La plupart des entreprises utilisatrices disposent ainsi d'un plan apparemment satisfaisant pour résoudre leurs problèmes immédiats, mais elles ne sont pas au bout de leurs peines. Les problèmes de Barco ne sont que la partie émergée de l'iceberg lorsqu'il s'agit de traiter les vulnérabilités de produits matériels et logiciels bien connus.
La racine du problème
Maintenant que les problèmes immédiats ont été résolus, nous devons nous demander comment des appareils présentant de graves failles de sécurité se sont retrouvés dans des milliers de salles de conférence à travers le monde, ou pourquoi ils ont été si mal conçus et programmés en premier lieu. Ce n'est pas comme si l'équipe de F-Secure avait découvert des vulnérabilités de type "zero-day" ou inconnues jusqu'alors. Dix des failles découvertes dans les produits Barco étaient associées à des vulnérabilités bien connues et courantes, telles que les attaques par injection de code. La plupart d'entre elles étaient déjà identifiées par le système CVE (Common Vulnerabilities and Exposures).
Comment des CVE vieilles de plusieurs dizaines d'années ont-elles pu être codées, voire câblées, dans des outils de présentation modernes ? La seule réponse possible est que les développeurs ne les connaissaient pas ou que la sécurité n'était pas une priorité lors de la conception des appareils Barco. Malheureusement, il s'agit d'une situation courante, qui n'est certainement pas l'apanage des équipes de Barco.
Le meilleur moment pour corriger une vulnérabilité est pendant le développement d'une application, bien avant qu'elle ne soit envoyée aux utilisateurs. Le pire moment (et le plus coûteux) est celui où le produit a été déployé ou exploité par des pirates. Il s'agit là d'une leçon difficile, que Barco ne manquera pas d'apprendre, car sa part de marché, autrefois impénétrable, a été réduite à la suite de ce fiasco de sécurité.
Il n'est pas facile de ramener les correctifs de sécurité vers le processus de développement, mais c'est nécessaire dans le monde d'aujourd'hui où même des dispositifs apparemment simples comme les outils de présentation sont à la fois étonnamment complexes et en réseau avec tout le reste. Dans cet environnement, la sécurité doit devenir une meilleure pratique organisationnelle. Qu'une entreprise programme des applications pour les médias sociaux ou fabrique des grille-pains intelligents, la sécurité doit être prise en compte dans toutes les facettes de l'organisation.
Donner la priorité aux meilleures pratiques en matière de sécurité et en faire une responsabilité partagée est l'objectif du mouvement DevSecOps, dans lequel les équipes de développement, de sécurité et d'exploitation travaillent ensemble pour coder et déployer des logiciels et des produits sécurisés. Cela nécessite autant un changement de culture qu'autre chose. Le nouvel état d'esprit doit être que le déploiement d'un produit fonctionnel présentant des vulnérabilités de sécurité est un échec au même titre que la création d'un produit incapable de remplir sa fonction principale.
Dans un environnement DevSecOps sain, toute personne touchant à un logiciel devrait être sensibilisée à la sécurité, les développeurs recevant des formations pertinentes et fréquentes pour éviter d'introduire des bogues désastreux dans leur travail. Si les équipes travaillant pour Barco avaient considéré la sécurité comme une responsabilité partagée, il est impossible qu'une telle collection de vulnérabilités, y compris des CVE vieux de plusieurs décennies, se soit retrouvée dans leurs outils de présentation.
La voie de la sécurité
Personne ne veut être le prochain Barco à devoir expliquer pourquoi des failles de sécurité bien connues ont été déployées par l'intermédiaire de leurs appareils sur des milliers de réseaux d'entreprise dans le monde entier. Pour éviter ce sort, les entreprises qui développent des logiciels ou du matériel intelligent doivent immédiatement donner la priorité à la sécurité en tant que responsabilité partagée et meilleure pratique organisationnelle. La création d'un programme DevSecOps sain prendra du temps et nécessitera probablement un changement de culture, mais les résultats en vaudront largement la peine. Un programme DevSecOps solide peut éliminer les vulnérabilités bien avant qu'elles ne causent des problèmes.
Les entreprises qui achètent des produits et des logiciels ont tout intérêt à soutenir celles qui ont adopté DevSecOps. Ce faisant, elles s'assureront que les appareils et les logiciels qu'elles achètent ne sont pas des bombes à retardement attendant d'être exploitées par des attaquants de plus en plus habiles.
Consultez les pages du Secure Code Warrior pour en savoir plus sur DevSecOps et sur la manière de protéger votre organisation et vos clients des ravages causés par les failles de sécurité et les vulnérabilités.
Vous souhaitez vous plonger dans les problèmes de sécurité rencontrés par Barco ?
Jouez à ces défis ludiques sur :
Il n'est pas facile de réorienter les correctifs de sécurité vers le processus de développement, mais cela est nécessaire dans le monde d'aujourd'hui où même des appareils apparemment simples comme les outils de présentation sont à la fois étonnamment complexes et reliés en réseau à tout le reste.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationMatias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Une version de cet article a été publiée dans DevOps.com. Elle a été mise à jour pour la syndication ici, et inclut des liens interactifs vers les défis de vulnérabilité.
Je pense que nous nous souvenons tous d'un moment récent où, lors d'une réunion ou d'une conférence, quelqu'un a eu des problèmes avec la technologie de présentation. Cela arrive si souvent que l'on s'attend presque à une expérience maladroite, du moins au début. Il n'est donc pas surprenant que l'application transparente de ClickShare ait été immédiatement populaire auprès des utilisateurs finaux. Pour eux, il n'y a rien de plus facile que d'utiliser une application ClickShare pour transférer une présentation de leur ordinateur portable, tablette ou smartphone vers un grand écran ou un projecteur de salle de conférence. Le fournisseur belge de technologies de projection numérique et d'imagerie Barco a conçu sa plateforme d'automatisation pour qu'elle fonctionne de cette manière, et les grandes entreprises ont adopté le concept. FutureSource Consulting estime que la part de marché de Barco dans le domaine de la technologie de conférence est de 29 %, avec une intégration dans 40 % des entreprises du classement Fortune 1 000.
Lorsque des chercheurs de F-Secure ont révélé en décembre que cette plateforme d'automatisation apparemment inoffensive était truffée de failles de sécurité, cela a provoqué une onde de choc dans le monde des affaires. Les failles de sécurité découvertes sont de nature critique et pourraient potentiellement permettre un certain nombre d'activités malveillantes.
Les chercheurs ont démontré comment les vulnérabilités pouvaient permettre à des utilisateurs distants d'espionner des présentations actives, de créer des portes dérobées dans des réseaux sécurisés ou même de configurer un serveur de distribution de logiciels espions qui infecterait chaque utilisateur se connectant à un appareil Barco. Soudain, les entreprises se sont trouvées confrontées à la perspective d'avoir de sérieux problèmes de sécurité installés directement dans les salles de conférence et les bureaux de toute leur organisation. Et en raison de la nature des vulnérabilités, un seul appareil compromis pouvait être à l'origine d'une violation à l'échelle du réseau.
"Un attaquant qui a réussi à compromettre une unité acquiert la capacité de décrypter et de produire des images cryptées valides pour n'importe quelle unité, que ce soit au sein d'une même famille ou d'une famille à l'autre", écrivent les responsables de F-Secure dans leur rapport. "En outre, un tel attaquant peut accéder à des données sensibles au repos, telles que le PSK Wi-Fi configuré et les certificats.
À sa décharge, Barco s'est montrée extrêmement proactive en publiant des correctifs et en corrigeant les vulnérabilités trouvées dans ses produits. L'éditeur de solutions de sécurité Tenable a récemment publié un rapport faisant état de 15 failles dans huit outils de présentation, dont Barco. Depuis février, seule Barco a déployé des correctifs.
Bien que certaines des vulnérabilités de Barco nécessitent des modifications matérielles (et celles-ci seront un cauchemar à déployer, si une entreprise agit à ce point pour les sécuriser), beaucoup d'entre elles peuvent être corrigées avec des correctifs logiciels. La plupart des entreprises utilisatrices disposent ainsi d'un plan apparemment satisfaisant pour résoudre leurs problèmes immédiats, mais elles ne sont pas au bout de leurs peines. Les problèmes de Barco ne sont que la partie émergée de l'iceberg lorsqu'il s'agit de traiter les vulnérabilités de produits matériels et logiciels bien connus.
La racine du problème
Maintenant que les problèmes immédiats ont été résolus, nous devons nous demander comment des appareils présentant de graves failles de sécurité se sont retrouvés dans des milliers de salles de conférence à travers le monde, ou pourquoi ils ont été si mal conçus et programmés en premier lieu. Ce n'est pas comme si l'équipe de F-Secure avait découvert des vulnérabilités de type "zero-day" ou inconnues jusqu'alors. Dix des failles découvertes dans les produits Barco étaient associées à des vulnérabilités bien connues et courantes, telles que les attaques par injection de code. La plupart d'entre elles étaient déjà identifiées par le système CVE (Common Vulnerabilities and Exposures).
Comment des CVE vieilles de plusieurs dizaines d'années ont-elles pu être codées, voire câblées, dans des outils de présentation modernes ? La seule réponse possible est que les développeurs ne les connaissaient pas ou que la sécurité n'était pas une priorité lors de la conception des appareils Barco. Malheureusement, il s'agit d'une situation courante, qui n'est certainement pas l'apanage des équipes de Barco.
Le meilleur moment pour corriger une vulnérabilité est pendant le développement d'une application, bien avant qu'elle ne soit envoyée aux utilisateurs. Le pire moment (et le plus coûteux) est celui où le produit a été déployé ou exploité par des pirates. Il s'agit là d'une leçon difficile, que Barco ne manquera pas d'apprendre, car sa part de marché, autrefois impénétrable, a été réduite à la suite de ce fiasco de sécurité.
Il n'est pas facile de ramener les correctifs de sécurité vers le processus de développement, mais c'est nécessaire dans le monde d'aujourd'hui où même des dispositifs apparemment simples comme les outils de présentation sont à la fois étonnamment complexes et en réseau avec tout le reste. Dans cet environnement, la sécurité doit devenir une meilleure pratique organisationnelle. Qu'une entreprise programme des applications pour les médias sociaux ou fabrique des grille-pains intelligents, la sécurité doit être prise en compte dans toutes les facettes de l'organisation.
Donner la priorité aux meilleures pratiques en matière de sécurité et en faire une responsabilité partagée est l'objectif du mouvement DevSecOps, dans lequel les équipes de développement, de sécurité et d'exploitation travaillent ensemble pour coder et déployer des logiciels et des produits sécurisés. Cela nécessite autant un changement de culture qu'autre chose. Le nouvel état d'esprit doit être que le déploiement d'un produit fonctionnel présentant des vulnérabilités de sécurité est un échec au même titre que la création d'un produit incapable de remplir sa fonction principale.
Dans un environnement DevSecOps sain, toute personne touchant à un logiciel devrait être sensibilisée à la sécurité, les développeurs recevant des formations pertinentes et fréquentes pour éviter d'introduire des bogues désastreux dans leur travail. Si les équipes travaillant pour Barco avaient considéré la sécurité comme une responsabilité partagée, il est impossible qu'une telle collection de vulnérabilités, y compris des CVE vieux de plusieurs décennies, se soit retrouvée dans leurs outils de présentation.
La voie de la sécurité
Personne ne veut être le prochain Barco à devoir expliquer pourquoi des failles de sécurité bien connues ont été déployées par l'intermédiaire de leurs appareils sur des milliers de réseaux d'entreprise dans le monde entier. Pour éviter ce sort, les entreprises qui développent des logiciels ou du matériel intelligent doivent immédiatement donner la priorité à la sécurité en tant que responsabilité partagée et meilleure pratique organisationnelle. La création d'un programme DevSecOps sain prendra du temps et nécessitera probablement un changement de culture, mais les résultats en vaudront largement la peine. Un programme DevSecOps solide peut éliminer les vulnérabilités bien avant qu'elles ne causent des problèmes.
Les entreprises qui achètent des produits et des logiciels ont tout intérêt à soutenir celles qui ont adopté DevSecOps. Ce faisant, elles s'assureront que les appareils et les logiciels qu'elles achètent ne sont pas des bombes à retardement attendant d'être exploitées par des attaquants de plus en plus habiles.
Consultez les pages du Secure Code Warrior pour en savoir plus sur DevSecOps et sur la manière de protéger votre organisation et vos clients des ravages causés par les failles de sécurité et les vulnérabilités.
Vous souhaitez vous plonger dans les problèmes de sécurité rencontrés par Barco ?
Jouez à ces défis ludiques sur :
Une version de cet article a été publiée dans DevOps.com. Elle a été mise à jour pour la syndication ici, et inclut des liens interactifs vers les défis de vulnérabilité.
Je pense que nous nous souvenons tous d'un moment récent où, lors d'une réunion ou d'une conférence, quelqu'un a eu des problèmes avec la technologie de présentation. Cela arrive si souvent que l'on s'attend presque à une expérience maladroite, du moins au début. Il n'est donc pas surprenant que l'application transparente de ClickShare ait été immédiatement populaire auprès des utilisateurs finaux. Pour eux, il n'y a rien de plus facile que d'utiliser une application ClickShare pour transférer une présentation de leur ordinateur portable, tablette ou smartphone vers un grand écran ou un projecteur de salle de conférence. Le fournisseur belge de technologies de projection numérique et d'imagerie Barco a conçu sa plateforme d'automatisation pour qu'elle fonctionne de cette manière, et les grandes entreprises ont adopté le concept. FutureSource Consulting estime que la part de marché de Barco dans le domaine de la technologie de conférence est de 29 %, avec une intégration dans 40 % des entreprises du classement Fortune 1 000.
Lorsque des chercheurs de F-Secure ont révélé en décembre que cette plateforme d'automatisation apparemment inoffensive était truffée de failles de sécurité, cela a provoqué une onde de choc dans le monde des affaires. Les failles de sécurité découvertes sont de nature critique et pourraient potentiellement permettre un certain nombre d'activités malveillantes.
Les chercheurs ont démontré comment les vulnérabilités pouvaient permettre à des utilisateurs distants d'espionner des présentations actives, de créer des portes dérobées dans des réseaux sécurisés ou même de configurer un serveur de distribution de logiciels espions qui infecterait chaque utilisateur se connectant à un appareil Barco. Soudain, les entreprises se sont trouvées confrontées à la perspective d'avoir de sérieux problèmes de sécurité installés directement dans les salles de conférence et les bureaux de toute leur organisation. Et en raison de la nature des vulnérabilités, un seul appareil compromis pouvait être à l'origine d'une violation à l'échelle du réseau.
"Un attaquant qui a réussi à compromettre une unité acquiert la capacité de décrypter et de produire des images cryptées valides pour n'importe quelle unité, que ce soit au sein d'une même famille ou d'une famille à l'autre", écrivent les responsables de F-Secure dans leur rapport. "En outre, un tel attaquant peut accéder à des données sensibles au repos, telles que le PSK Wi-Fi configuré et les certificats.
À sa décharge, Barco s'est montrée extrêmement proactive en publiant des correctifs et en corrigeant les vulnérabilités trouvées dans ses produits. L'éditeur de solutions de sécurité Tenable a récemment publié un rapport faisant état de 15 failles dans huit outils de présentation, dont Barco. Depuis février, seule Barco a déployé des correctifs.
Bien que certaines des vulnérabilités de Barco nécessitent des modifications matérielles (et celles-ci seront un cauchemar à déployer, si une entreprise agit à ce point pour les sécuriser), beaucoup d'entre elles peuvent être corrigées avec des correctifs logiciels. La plupart des entreprises utilisatrices disposent ainsi d'un plan apparemment satisfaisant pour résoudre leurs problèmes immédiats, mais elles ne sont pas au bout de leurs peines. Les problèmes de Barco ne sont que la partie émergée de l'iceberg lorsqu'il s'agit de traiter les vulnérabilités de produits matériels et logiciels bien connus.
La racine du problème
Maintenant que les problèmes immédiats ont été résolus, nous devons nous demander comment des appareils présentant de graves failles de sécurité se sont retrouvés dans des milliers de salles de conférence à travers le monde, ou pourquoi ils ont été si mal conçus et programmés en premier lieu. Ce n'est pas comme si l'équipe de F-Secure avait découvert des vulnérabilités de type "zero-day" ou inconnues jusqu'alors. Dix des failles découvertes dans les produits Barco étaient associées à des vulnérabilités bien connues et courantes, telles que les attaques par injection de code. La plupart d'entre elles étaient déjà identifiées par le système CVE (Common Vulnerabilities and Exposures).
Comment des CVE vieilles de plusieurs dizaines d'années ont-elles pu être codées, voire câblées, dans des outils de présentation modernes ? La seule réponse possible est que les développeurs ne les connaissaient pas ou que la sécurité n'était pas une priorité lors de la conception des appareils Barco. Malheureusement, il s'agit d'une situation courante, qui n'est certainement pas l'apanage des équipes de Barco.
Le meilleur moment pour corriger une vulnérabilité est pendant le développement d'une application, bien avant qu'elle ne soit envoyée aux utilisateurs. Le pire moment (et le plus coûteux) est celui où le produit a été déployé ou exploité par des pirates. Il s'agit là d'une leçon difficile, que Barco ne manquera pas d'apprendre, car sa part de marché, autrefois impénétrable, a été réduite à la suite de ce fiasco de sécurité.
Il n'est pas facile de ramener les correctifs de sécurité vers le processus de développement, mais c'est nécessaire dans le monde d'aujourd'hui où même des dispositifs apparemment simples comme les outils de présentation sont à la fois étonnamment complexes et en réseau avec tout le reste. Dans cet environnement, la sécurité doit devenir une meilleure pratique organisationnelle. Qu'une entreprise programme des applications pour les médias sociaux ou fabrique des grille-pains intelligents, la sécurité doit être prise en compte dans toutes les facettes de l'organisation.
Donner la priorité aux meilleures pratiques en matière de sécurité et en faire une responsabilité partagée est l'objectif du mouvement DevSecOps, dans lequel les équipes de développement, de sécurité et d'exploitation travaillent ensemble pour coder et déployer des logiciels et des produits sécurisés. Cela nécessite autant un changement de culture qu'autre chose. Le nouvel état d'esprit doit être que le déploiement d'un produit fonctionnel présentant des vulnérabilités de sécurité est un échec au même titre que la création d'un produit incapable de remplir sa fonction principale.
Dans un environnement DevSecOps sain, toute personne touchant à un logiciel devrait être sensibilisée à la sécurité, les développeurs recevant des formations pertinentes et fréquentes pour éviter d'introduire des bogues désastreux dans leur travail. Si les équipes travaillant pour Barco avaient considéré la sécurité comme une responsabilité partagée, il est impossible qu'une telle collection de vulnérabilités, y compris des CVE vieux de plusieurs décennies, se soit retrouvée dans leurs outils de présentation.
La voie de la sécurité
Personne ne veut être le prochain Barco à devoir expliquer pourquoi des failles de sécurité bien connues ont été déployées par l'intermédiaire de leurs appareils sur des milliers de réseaux d'entreprise dans le monde entier. Pour éviter ce sort, les entreprises qui développent des logiciels ou du matériel intelligent doivent immédiatement donner la priorité à la sécurité en tant que responsabilité partagée et meilleure pratique organisationnelle. La création d'un programme DevSecOps sain prendra du temps et nécessitera probablement un changement de culture, mais les résultats en vaudront largement la peine. Un programme DevSecOps solide peut éliminer les vulnérabilités bien avant qu'elles ne causent des problèmes.
Les entreprises qui achètent des produits et des logiciels ont tout intérêt à soutenir celles qui ont adopté DevSecOps. Ce faisant, elles s'assureront que les appareils et les logiciels qu'elles achètent ne sont pas des bombes à retardement attendant d'être exploitées par des attaquants de plus en plus habiles.
Consultez les pages du Secure Code Warrior pour en savoir plus sur DevSecOps et sur la manière de protéger votre organisation et vos clients des ravages causés par les failles de sécurité et les vulnérabilités.
Vous souhaitez vous plonger dans les problèmes de sécurité rencontrés par Barco ?
Jouez à ces défis ludiques sur :
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstrationMatias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Une version de cet article a été publiée dans DevOps.com. Elle a été mise à jour pour la syndication ici, et inclut des liens interactifs vers les défis de vulnérabilité.
Je pense que nous nous souvenons tous d'un moment récent où, lors d'une réunion ou d'une conférence, quelqu'un a eu des problèmes avec la technologie de présentation. Cela arrive si souvent que l'on s'attend presque à une expérience maladroite, du moins au début. Il n'est donc pas surprenant que l'application transparente de ClickShare ait été immédiatement populaire auprès des utilisateurs finaux. Pour eux, il n'y a rien de plus facile que d'utiliser une application ClickShare pour transférer une présentation de leur ordinateur portable, tablette ou smartphone vers un grand écran ou un projecteur de salle de conférence. Le fournisseur belge de technologies de projection numérique et d'imagerie Barco a conçu sa plateforme d'automatisation pour qu'elle fonctionne de cette manière, et les grandes entreprises ont adopté le concept. FutureSource Consulting estime que la part de marché de Barco dans le domaine de la technologie de conférence est de 29 %, avec une intégration dans 40 % des entreprises du classement Fortune 1 000.
Lorsque des chercheurs de F-Secure ont révélé en décembre que cette plateforme d'automatisation apparemment inoffensive était truffée de failles de sécurité, cela a provoqué une onde de choc dans le monde des affaires. Les failles de sécurité découvertes sont de nature critique et pourraient potentiellement permettre un certain nombre d'activités malveillantes.
Les chercheurs ont démontré comment les vulnérabilités pouvaient permettre à des utilisateurs distants d'espionner des présentations actives, de créer des portes dérobées dans des réseaux sécurisés ou même de configurer un serveur de distribution de logiciels espions qui infecterait chaque utilisateur se connectant à un appareil Barco. Soudain, les entreprises se sont trouvées confrontées à la perspective d'avoir de sérieux problèmes de sécurité installés directement dans les salles de conférence et les bureaux de toute leur organisation. Et en raison de la nature des vulnérabilités, un seul appareil compromis pouvait être à l'origine d'une violation à l'échelle du réseau.
"Un attaquant qui a réussi à compromettre une unité acquiert la capacité de décrypter et de produire des images cryptées valides pour n'importe quelle unité, que ce soit au sein d'une même famille ou d'une famille à l'autre", écrivent les responsables de F-Secure dans leur rapport. "En outre, un tel attaquant peut accéder à des données sensibles au repos, telles que le PSK Wi-Fi configuré et les certificats.
À sa décharge, Barco s'est montrée extrêmement proactive en publiant des correctifs et en corrigeant les vulnérabilités trouvées dans ses produits. L'éditeur de solutions de sécurité Tenable a récemment publié un rapport faisant état de 15 failles dans huit outils de présentation, dont Barco. Depuis février, seule Barco a déployé des correctifs.
Bien que certaines des vulnérabilités de Barco nécessitent des modifications matérielles (et celles-ci seront un cauchemar à déployer, si une entreprise agit à ce point pour les sécuriser), beaucoup d'entre elles peuvent être corrigées avec des correctifs logiciels. La plupart des entreprises utilisatrices disposent ainsi d'un plan apparemment satisfaisant pour résoudre leurs problèmes immédiats, mais elles ne sont pas au bout de leurs peines. Les problèmes de Barco ne sont que la partie émergée de l'iceberg lorsqu'il s'agit de traiter les vulnérabilités de produits matériels et logiciels bien connus.
La racine du problème
Maintenant que les problèmes immédiats ont été résolus, nous devons nous demander comment des appareils présentant de graves failles de sécurité se sont retrouvés dans des milliers de salles de conférence à travers le monde, ou pourquoi ils ont été si mal conçus et programmés en premier lieu. Ce n'est pas comme si l'équipe de F-Secure avait découvert des vulnérabilités de type "zero-day" ou inconnues jusqu'alors. Dix des failles découvertes dans les produits Barco étaient associées à des vulnérabilités bien connues et courantes, telles que les attaques par injection de code. La plupart d'entre elles étaient déjà identifiées par le système CVE (Common Vulnerabilities and Exposures).
Comment des CVE vieilles de plusieurs dizaines d'années ont-elles pu être codées, voire câblées, dans des outils de présentation modernes ? La seule réponse possible est que les développeurs ne les connaissaient pas ou que la sécurité n'était pas une priorité lors de la conception des appareils Barco. Malheureusement, il s'agit d'une situation courante, qui n'est certainement pas l'apanage des équipes de Barco.
Le meilleur moment pour corriger une vulnérabilité est pendant le développement d'une application, bien avant qu'elle ne soit envoyée aux utilisateurs. Le pire moment (et le plus coûteux) est celui où le produit a été déployé ou exploité par des pirates. Il s'agit là d'une leçon difficile, que Barco ne manquera pas d'apprendre, car sa part de marché, autrefois impénétrable, a été réduite à la suite de ce fiasco de sécurité.
Il n'est pas facile de ramener les correctifs de sécurité vers le processus de développement, mais c'est nécessaire dans le monde d'aujourd'hui où même des dispositifs apparemment simples comme les outils de présentation sont à la fois étonnamment complexes et en réseau avec tout le reste. Dans cet environnement, la sécurité doit devenir une meilleure pratique organisationnelle. Qu'une entreprise programme des applications pour les médias sociaux ou fabrique des grille-pains intelligents, la sécurité doit être prise en compte dans toutes les facettes de l'organisation.
Donner la priorité aux meilleures pratiques en matière de sécurité et en faire une responsabilité partagée est l'objectif du mouvement DevSecOps, dans lequel les équipes de développement, de sécurité et d'exploitation travaillent ensemble pour coder et déployer des logiciels et des produits sécurisés. Cela nécessite autant un changement de culture qu'autre chose. Le nouvel état d'esprit doit être que le déploiement d'un produit fonctionnel présentant des vulnérabilités de sécurité est un échec au même titre que la création d'un produit incapable de remplir sa fonction principale.
Dans un environnement DevSecOps sain, toute personne touchant à un logiciel devrait être sensibilisée à la sécurité, les développeurs recevant des formations pertinentes et fréquentes pour éviter d'introduire des bogues désastreux dans leur travail. Si les équipes travaillant pour Barco avaient considéré la sécurité comme une responsabilité partagée, il est impossible qu'une telle collection de vulnérabilités, y compris des CVE vieux de plusieurs décennies, se soit retrouvée dans leurs outils de présentation.
La voie de la sécurité
Personne ne veut être le prochain Barco à devoir expliquer pourquoi des failles de sécurité bien connues ont été déployées par l'intermédiaire de leurs appareils sur des milliers de réseaux d'entreprise dans le monde entier. Pour éviter ce sort, les entreprises qui développent des logiciels ou du matériel intelligent doivent immédiatement donner la priorité à la sécurité en tant que responsabilité partagée et meilleure pratique organisationnelle. La création d'un programme DevSecOps sain prendra du temps et nécessitera probablement un changement de culture, mais les résultats en vaudront largement la peine. Un programme DevSecOps solide peut éliminer les vulnérabilités bien avant qu'elles ne causent des problèmes.
Les entreprises qui achètent des produits et des logiciels ont tout intérêt à soutenir celles qui ont adopté DevSecOps. Ce faisant, elles s'assureront que les appareils et les logiciels qu'elles achètent ne sont pas des bombes à retardement attendant d'être exploitées par des attaquants de plus en plus habiles.
Consultez les pages du Secure Code Warrior pour en savoir plus sur DevSecOps et sur la manière de protéger votre organisation et vos clients des ravages causés par les failles de sécurité et les vulnérabilités.
Vous souhaitez vous plonger dans les problèmes de sécurité rencontrés par Barco ?
Jouez à ces défis ludiques sur :
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
DigitalOcean réduit sa dette de sécurité avec Secure Code Warrior
L'utilisation par DigitalOcean de la formation Secure Code Warrior a considérablement réduit la dette de sécurité, permettant aux équipes de se concentrer davantage sur l'innovation et la productivité. L'amélioration de la sécurité a renforcé la qualité des produits et l'avantage concurrentiel de l'entreprise. À l'avenir, le score de confiance SCW les aidera à améliorer leurs pratiques de sécurité et à continuer à stimuler l'innovation.
Ressources pour vous aider à démarrer
Sécurité réactive contre sécurité préventive : La prévention est un meilleur remède
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.
Les avantages de l'évaluation des compétences des développeurs en matière de sécurité
L'importance croissante accordée au code sécurisé et aux principes de conception sécurisée exige que les développeurs soient formés à la cybersécurité dès le début du cycle de développement durable, et que des outils tels que le Trust Score de Secure Code Warriorles aident à mesurer et à améliorer leurs progrès.
Assurer le succès des initiatives de conception sécurisée de l'entreprise
Notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise est le résultat d'une analyse approfondie d'initiatives réelles de conception sécurisée au niveau de l'entreprise, et de l'élaboration d'approches de meilleures pratiques basées sur des conclusions fondées sur des données.
Plongée en profondeur : Naviguer dans la vulnérabilité critique de CUPS dans les systèmes GNU-Linux
Découvrez les derniers défis de sécurité auxquels sont confrontés les utilisateurs de Linux en explorant les récentes vulnérabilités de haute sévérité dans le système d'impression commun d'UNIX (CUPS). Apprenez comment ces problèmes peuvent conduire à une potentielle exécution de code à distance (RCE) et ce que vous pouvez faire pour protéger vos systèmes.