Blackberry interpellé pour la gestion de la faille BadAlloc
Si l'entreprise a bien informé ses clients OEM de la vulnérabilité BadAlloc, les utilisateurs d'appareils IoT fonctionnant sous son système d'exploitation QNX n'ont pas été mis au courant.
Il est difficile de croire que les équipes juridiques, de relations publiques et de marketing de BlackBerry aient choisi de ne pas informer les utilisateurs des bogues découverts dans son système d'exploitation embarqué QNX. Des millions de consommateurs sont potentiellement concernés, que ce soit dans le secteur de l'automobile, de la médecine et des infrastructures. Pourtant, l'entreprise a préféré traiter discrètement avec ses partenaires, en espérant semble-t-il que le public n'aurait pas vent de la mauvaise nouvelle. Faire passer la sécurité de ses clients après son image public est une erreur, et c'est franchement scandaleux.
La vulnérabilité BadAlloc
Fin avril 2021, des chercheurs de Microsoft ont révélé que la faille BadAlloc affectait des tas de dispositifs IoT et de fournisseurs. Selon les chercheurs, la vulnérabilité permettait potentiellement à un attaquant de réaliser un déni de service ou d'exécuter un code arbitraire. De nombreux fournisseurs ont pris en compte l'avis et, en mai 2021, ils ont pris des mesures d'atténuation et envoyé des messages pour expliquer l'impact possible de la vulnérabilité sur les clients et la procédure à suivre pour y remédier. Alors que le système d'exploitation de BlackBerry fait tourner des appareils utilisés dans une multitude de secteurs, notamment les infrastructures critiques, le gouvernement fédéral américain, l'automobile, les contrôles industriels et les appareils médicaux, l'entreprise a cru qu'elle pouvait éviter la tempête en gardant le silence.
La pression du CISA
BlackBerry a diffusé son avis le 17 août 2021 en passant sous silence le fait que la vulnérabilité avait été découverte en avril. Il indiquait cependant que si les utilisateurs de QNX n'atténuaient pas la menace avec les correctifs fournis, il n'existait « aucune solution de contournement connue pour cette vulnérabilité ». On ne sait pas quelle pression l'agence fédérale US Cybersecurity and Infrastructure Security Agency (CISA) a dû exercer pour que BlackBerry révèle que son système d'exploitation QNX était affecté, comme on le soupçonnait en avril. De nombreux médias rapportent que la CISA n'a pas ménagé ses efforts pour que BlackBerry révèle publiquement la vulnérabilité et ne se contente pas d'informer les partenaires qui intégraient le système d'exploitation dans leurs produits.
Selon Politico, BlackBerry a fait valoir qu'elle n'avait aucune visibilité sur la façon dont ses clients utilisaient son produit. En effet, l'entreprise a insisté sur le fait qu'elle tenait « des listes de ses clients et qu'elle avait activement échangé avec eux à ce propos », et que « les communications concernant les correctifs logiciels se passaient en direct avec ses clients ». À la suite de la publication de l'avis de BlackBerry, la CISA a publié son propre avis en insistant clairement sur la nécessité de prendre des mesures d'atténuation dans les agences gouvernementales et les entreprises d'infrastructures critiques du pays, y compris celles impliquées dans la Garde côtière américaine (US Coast Guard) et la Commission américaine de réglementation nucléaire (US Nuclear Regulatory Commission). Ces deux entités ont publié leurs propres avis aux entités concernées dans leur domaine.
La vulnérabilité non corrigée ne touchait pas seulement les contrôles industriels et les applications automobiles, mais aussi une pléthore de dispositifs médicaux. La Food and Drug Administration (FDA) a publié son propre avis, également après que BlackBerry a reconnu son erreur, en soulignant que la vulnérabilité pouvait « présenter un risque pour certains dispositifs médicaux et équipements de fabrication de médicaments ». Ce qui ressort clairement de l'avis de la FDA, c'est que l'ampleur de l'exposition causée par la vulnérabilité QNX de BlackBerry est inconnue. La FDA a invité les personnes concernées à la contacter immédiatement et à identifier les équipements et systèmes des produits jugés vulnérables. La CISA et la FDA ont rapidement précisé aussi qu'aucun événement indésirable n'avait été confirmé en rapport avec la vulnérabilité de l'OS de BlackBerry.
Une esquive volontaire ?
En dehors du fait de savoir si BlackBerry a évité que la vulnérabilité ne soit exploitée pendant qu'elle mettait au point son verbiage public, ce que l'on retient surtout c'est que l'entreprise canadienne a pris son temps et qu'elle a fallu la pression du gouvernement américain pour qu'elle prenne les mesures adaptées. BlackBerry doit maintenant se confronter au tribunal de l'opinion publique. On peut se demander également si, compte tenu de la vulnérabilité des dispositifs non corrigés ou atténués dans le secteur des soins de santé, la FDA ne va pas intervenir et imposer des amendes et autres mesures administratives. On ignore si d'autres agences ou départements fédéraux prendront des mesures similaires, étant donné que BlackBerry a récemment annoncé qu'il intégrait ses technologies dans les véhicules grâce au programme californien « Car IQ », dans lequel le véhicule fonctionnera essentiellement comme un porte-monnaie électronique. La conclusion pour tous les responsables des systèmes d'information est évidente : les fabricants et les consommateurs veulent savoir que, lorsqu'une vulnérabilité est découverte par les entreprises auxquelles ils font confiance, ces dernières les en informent rapidement et sans détours. Quand la confiance est trahie, il est difficile de la réparer et « une erreur peut balayer 100 réussites ».