Pour gérer vos consentements :

FireEye tente de museler les chercheurs de failles

Décidément FireEye a quelques difficultés de communication avec les chercheurs en sécurité. En début de semaine, un hacker, Kristian Hermansen, expliquait sur Twitter avoir découvert pas moins de 4 vulnérabilités de type zero day dans les appliances de FireEye. Avec un autre spécialiste Rob Perris, ce ne sont pas moins de 30 failles qui ont été démasquées. Pour autant pas question de publier ces failles, les chercheurs sont plutôt dans une optique de les vendre pour forcer FireEye à mettre en place une politique de chasse aux bugs.

Car en matière de publication des brèches de sécurité, FireEye est plutôt tatillon et n’hésite pas à ester en justice. Felix Wilhelm en a fait récemment l’expérience. Ce chercheur en sécurité auprès du cabinet de conseil allemand ENRW a découvert 5 failles dans le système de protection antimalware MPS de la firme américaine. Comme il est d’usage dans l’industrie, ENRW a contacté FireEye en avril dernier pour l’informer des problèmes et prévoyait de publier un document sur ces failles à la fin d’une période de 90 jours pour que la société puisse les corriger.

Consensus, mise en demeure et injonction

Oui mais voilà, après examen de la notification d’ENRW, FireEye a considéré qu’elle contenait trop de détails techniques sur le fonctionnement interne de la solution MPS. Face aux tensions entre les deux sociétés, Enno Rey le fondateur d’ERNW a tenté de trouver un accord comme il l’explique dans un blog. Une rencontre a donc eu lieu à Las Vegas le 5 août dernier en marge des conférences Black Hat et Defcon où un consensus avait semble-t-il été trouvé. Et bien non, le lendemain le dirigeant reçoit une lettre de mise en demeure pour interdire la divulgation de la propriété intellectuelle de FireEye. Plus fort encore, avant qu’ERNW écrive sa réponse, la firme américaine obtient le 13 août dernier une injonction du tribunal de Hambourg pour interdire la divulgation de tout élément lié à la propriété intellectuelle de FireEye.

Felix Wilhelm a présenté le fruit de ses travaux à l’occasion de la conférence 44CON à Londres (10 et 11 setepmbre). La version dévoilée a été passablement expurgée pour se conformer à la décision de justice. Une méthode un peu cavalière dans le monde de la sécurité où traditionnellement les chercheurs ne sont pas poursuivis pour leurs travaux, mais plutôt encouragés, voire récompensés.

Nos confrères de Computerworld ont interrogé Vitor C. De Souza, responsable de la communication de FireEye qui a expliqué que la société « n’avait aucune intention de bloquer ERNW dans la discussion publique des vulnérabilités. Mais nous ne sommes pas disposés à exposer des données propriétaires qui comporteraient un risque pour l’entreprise et nos clients. Selon le droit allemand, elle n’était pas autorisée à divulguer de la propriété intellectuelle qui ne lui appartenait pas ». FireEye a publié le 8 septembre un bulletin de sécurité pour annoncer la disponibilité des correctifs pour ces vulnérabilités.

A lire aussi :

Kaspersky : de faux virus oui, mais nous en avons été victimes

FireEye, Microsoft et consorts identifient un vaste réseau de cyberespionnage chinois

Crédit Photo : Maksym Bontarchuck-Shutterstock

Recent Posts

Pistage : les navigateurs ne s’attaquent pas qu’aux cookies

Dans la lignée de Brave, Firefox met en place un mécanisme de filtrage de certains…

6 heures ago

Open Source : la Fondation Linux veut normaliser l’accès aux DPU

L’effort porte sur la standardisation de la pile logicielle prenant en charge les processeurs de…

8 heures ago

vSphere+ : qu’y a-t-il dans la vitrine multicloud de VMware ?

VMware a structuré une offre commerciale favorisant l'accès à des capacités cloud à travers vCenter.…

8 heures ago

Le PEPR cybersécurité prend forme : les choses à savoir

Le PEPR rattaché à la stratégie nationale de cybersécurité a connu une forme d'officialisation la…

13 heures ago

ESN : Numeum s’étoffe et précise ses priorités

Numeum, qui réprésente les ESN et éditeurs de logiciels en France, a précisé sa feuille…

1 jour ago

HPE Discover 2022 : Red Hat rejoint l’écosystème GreenLake

OpenShift, RHEL, Ansible... Red Hat va proposer une version sur site avec paiement à l'usage…

1 jour ago