Le géant Nokia a-t-il accepté de payer pour connaître ses vulnérabilités ?
Le jeudi 21 août, Nokia a confirmé que sa plate-forme logicielle Series 40, très largement diffusée dans les téléphones mobiles, présente des vulnérabilités qui pourraient permettre l'installation et l'activation d'applications de manière furtive. La société demeure cependant évasive sur le fait qu'elle ait ou non payé une somme de 20 000 € à l'expert en sécurité polonais Adam Gowdiak qui voulait le paiement des six mois d'efforts qu'il a consacré à trouver les défauts de cette gamme. L'expert n'a pas révélé s'il avait été payé mais a déclaré que seules les sociétés connues qui paieraient accéderont à totalité de l'étude, soit 180 pages et 14 000 lignes de code prouvant ses propos. Nokia possède une copie complète de l'étude a déclaré Mark Durrant du service de communication de Nokia. L'attitude du leader mondial des mobiles pourrait raviver le débat parmi les professionnels de la sécurité, sur le fait que les fournisseurs récompensent les travaux de recherche volontaires sur les failles de leurs produits. Les vendeurs en général évitent de payer les chercheurs de vulnérabilités et encouragent ce qu'ils appellent « une divulgation responsable » ou une notification discrète avant que l'information sur la vulnérabilité ne soit rendue publique. Les vendeurs ne veulent pas être à la merci des chasseurs de vulnérabilités, qui pourraient menacer de communiquer les informations à des hackers. « Il pourrait être très facile d'avoir l'idée de prendre une société en otage. La vérité est qu'il (NDLR : Adam Gowdiak)a effectué un travail de recherche significatif et il est clairement compréhensible qu'il veuille trouver un moyen de le monétiser, indique Mark Durrant. Début août, Adam Gowdiak, a déclaré qu'il avait trouvé des problèmes dans la plate-forme applicative Java 2 Micro Edition (J2ME) de Sun destinée aux mobiles, ainsi que dans la plate-forme Series 40 de Nokia. Tout en diffusant peu d'informations sur les vulnérabilités, Adam Gowdiak a déclaré qu'une attaque pouvait être réalisée en forgeant des messages spécifiques et en les envoyant à un numéro de téléphone donné. Nokia a indiqué que certains produits utilisant la plate-forme Series 40 sont vulnérables à une attaque qui pourrait aboutir à l'installation secrète d'applications. Le fabricant a également averti qu'il a trouvé des versions anciennes de J2ME qui pourraient autoriser l'escalade de privilèges ou l'accès à des fonctions du téléphone qui devraient être restreintes. « Nos tests se sont concentrés sur les produits qui pourraient avoir les deux problèmes » indique un communiqué de Nokia. La société affirme ne pas avoir connaissance d'attaques contre des terminaux de type Series 40, et que les problèmes ne représentent pas « un risque significatif ». Selon Mark Durrant, cette conclusion est fondée sur le fait que les vulnérabilités ne sont pas encore publiques et qu'il est difficile d'exploiter les défauts trouvés pour une attaque. « Cela réclame de fortes compétences techniques, ce n'est pas quelque chose que quelqu'un sera capable de trouver dans un garage en une après midi. Il (NDLR : Adam Gowdiak) est clairement quelqu'un d'intelligent, résume Mark Durrant. Adam Gowdiak confirme qu'il a fourni Sun et Nokia le 7 août avec un résumé sur une à deux pages des vulnérabilités trouvées. Sun a répondu en annonçant de prochains correctifs. Adam Gowdiak n'a pas mentionné s'il avait été payé par Sun pour l'étude complète. Mais l'intention de Sun d'émettre des correctifs monte que la société était capable d'utiliser l'information « communiquée gratuitement. Ce n'était pas que nous voulions réclamer de l'argent à Sun ou à Nokia. Nous n'avons pas essayé de les faire chanter , termine Adam Gowdiak.
