Rootkit sur clé USB: l’incroyable ‘erreur’ de Sony

Le groupe nippon, par la voix d’un porte-parole, explique qu’il s’agit d’une
erreur, mais l’argument ne satisfait pas, et la grogne des éditeurs antivirus
persiste

L’affaire débute le 28 août 2007, suite à une découverte des laboratoires de sécurité de l’éditeur finlandais F-Secure.

Selon le spécialiste de la sécurité, certains modèles de clés USB biométriques Flash MicroVault USM-F utilisent un fichier caché, qui pourrait être utilisé par des hackers pour mener des attaques.

Le problème vient du logiciel de lecture des empreintes palmaires, qui est vendu avec les clés. Dans les faits, cette application génère un dossier de façon quasi invisible pour un utilisateur lambda.

L’histoire a un goût de « déjà vu », puisque fin 2005, le géant japonais mettait déjà en péril la sécurité de ses utilisateurs à cause d’un verrou technique ou DRM (Digital Right Management) présent sur certains de ses CD, mal conçu provoquant le blocage de Windows…

Ce lundi 3 septembre, un porte-parole de Sony a expliqué : « il arrive qu’une idée partant d’une bonne intention ne produise pas les effets escomptés. « En effet,l’application MicroVault crée ce fichier pour protéger les fichiers d’authentification de l’empreinte de l’utilisateur. Par contre, Sony ou plutôt le sous-traitant qui a développé le soft a oublié de refermer la porte derrière lui.

McAfee s’agace

Cette réaction plutôt tardive de Sony intervient alors que l’éditeur de sécurité McAfee critique ouvertement la compagnie pour avoir :« compromis la sécurité de ses clients. »

Le groupe californien est d’autant plus énervé que ce produit Micro Vault a pour mission de sécuriser les utilisateurs. Qui plus est, selon nos informations, cette faille est dans la nature depuis déjà plus d’un mois…

Selon des informations de McAfee le logiciel incriminé dans cette affaire provient de l’éditeur taiwanais FineArt Technology, le sous-traitant  » spécialiste » du cryptage qui conçoit les logiciels de Sony. Rappelons à ce sujet que Sony ne dispose pas de ses propres équipes de développeurs.

Aditya Kapoor et Seth Purdy, ingénieurs des labs McAfee, expliquent sur le blog de l’éditeur :« les auteurs de ce logiciel n’ont pris en compte les principes de sécurité lorsqu’ils ont conçu le processus d’installation du logiciel. »

Toujours sur le weblog de McAfee les deux ingénieurs précisent : « des cybercriminels peuvent utiliser ce répertoire qui se dissimule comme un rootkit pour y placer du code malveillant s’activant de façon transparente à l’ouverture du PC. »

Dernière minute : Sony va stopper la production des clés Microvault Pour couper court au scandale, le géant vient d’annoncer à nos confrères deVnunet.com qu’il allait mettre un terme à la production des clés biométriques de la gamme MicroVault.Officiellement, le fabricant de l’empire du soleil levant évoque des  » ventes modestes « , mais l’affaire du rootkit évoquée ci-dessus -qui vient une nouvelle fois entacher son image de marque- est certainement pour beacoup dans cette décision.Aucun plan de rappel des produits n’a été annoncé. Les trois modèles concernés sont l’USM-128C, l’USM-256F et l’USM-512FL. Sony ne dit pas combien de ces produits ont été vendus.