Pourquoi une grande entreprise comme Zyxel choisirait-elle de ne pas corriger des vulnérabilités critiques qui peuvent compromettre ses appareils ? La société taïwanaise spécialisée dans le matériel informatique est confrontée à une crise de sécurité après la découverte de failles importantes, mais a décidé de ne pas intervenir par le biais de mises à jour.
Récemment, la startup de renseignement sur les menaces GreyNoise a révélé une vulnérabilité zero-day affectant des routeurs Zyxel, exploitée activement par des pirates. Quels risques cela représente-t-il pour les utilisateurs ? Ces vulnérabilités permettent aux intrus d’exécuter des commandes arbitraires, compromettant potentiellement l’intégrité des systèmes et des données personnelles. Dans ce contexte de menaces numériques, pourquoi Zyxel refuse-t-elle de prendre des mesures correctives?
Il apparaît que les failles ont été découvertes par l’organisation VulnCheck en juillet dernier, mais Zyxel n’a ni corrigé ni divulgué formellement ces vulnérabilités à l’époque. Alors, que fait l’entreprise aujourd’hui ? Zyxel a récemment admis avoir pris conscience de ces vulnérabilités majeures, enregistrées sous les références CVE-2024-40890 et CVE-2024-40891, mais semble minimiser leur impact en les considérant comme sur des produits en fin de vie (EOL).
Zyxel choisit de ne pas publier de correctifs pour des produits qu’elle considère comme obsolètes, mais quels sont les implications pour ses clients actuels ?
La réaction de Zyxel pose des questions sérieuses sur la responsabilité des fabricants envers la sécurité de leurs produits, même obsolètes ou retirés du marché. Les déclarations de Zyxel indiquent qu’il incombe aux utilisateurs de remplacer eux-mêmes les appareils, mais comment ces décisions affectent-elles la confiance des clients dans leurs produits actuels et futurs ? D’autant que, comme l’a souligné VulnCheck, des modèles affectés sont toujours en vente sur des plateformes comme Amazon.
Cela soulève la question cruciale de la durée de vie des appareils, en particulier avec la montée des objets connectés et des réseaux domestiques complexes. Est-ce que l’obsolescence programmée pourrait jouer un rôle inattendu ici, en encourageant les mises à niveau pour garantir une certaine stabilité sécuritaire ?
En fin de compte, près de 1500 appareils vulnérables demeurent connectés à Internet, selon Censys. Avec la menace de botnets comme Mirai exploitant ces failles, sommes-nous face à une tempête que Zyxel choisit d’ignorer ? Le mutisme de Zyxel à ce sujet, symbolisé par le silence de leur porte-parole Birgitte Larsen, ne fait qu’ajouter au mystère.
Cette situation conduit à une réflexion plus large : les entreprises technologiques devraient-elles être obligées de supporter les mises à jour de sécurité de tous leurs produits vendus ?
Source : Techcrunch