EXCELLIS International – Une analyse menée par deux chercheurs a révélé que certains produits commerciaux de cybersécurité s’appuient sur des algorithmes qui ont été repris sans autorisation.

Les résultats de cette recherche seront présentés jeudi à la conférence Black Hat de Las Vegas par Tom McGuire, instructeur à l’Université Johns Hopkins, et Patrick Wardle, expert en sécurité macOS et fondateur de la Fondation Objective-See, un organisme à but non lucratif qui fournit des ressources gratuites et open source sur la sécurité de macOS.

L’analyse s’est concentrée sur OverSight, un outil gratuit proposé par la Fondation Objective-See. L’application permet aux utilisateurs de surveiller le microphone et la webcam d’un Mac, et les alerte dès que le micro est activé ou que la caméra est accessible par un processus.

L’analyse a conduit à la découverte de trois outils de sécurité – développés par trois sociétés différentes – qui utilisaient les algorithmes d’OverSight sans autorisation. OverSight est disponible en tant qu’outil gratuit depuis 2016, mais il n’a été rendu open source qu’en 2021. Le rétroconcevoir dans le but de créer des produits commerciaux serait contraire à l’éthique, voire illégal.

En utilisant les règles de Google et de Yara, les chercheurs ont identifié des produits commerciaux utilisant les mêmes noms de méthodes, chemins, chaînes, clés de registre non documentées et logique d’analyse que OverSight.

Des entreprises de cybersécurité admettent que ce code ne leur appartient pas, mais l’utilisent sans licence

Les entreprises incriminées ont été contactées et ont reçu la preuve que les algorithmes d’OverSight avaient été utilisés dans leurs produits sans autorisation. Elles ont reconnu le problème – même si l’une des entreprises n’a pris les chercheurs au sérieux qu’après avoir été confrontée à la possibilité d’une réaction publique – et ont promis de supprimer le code, et ont même offert une compensation financière.

Wardle a déclaré à SecurityWeek que la compensation offerte par les entreprises était raisonnable, même si elle ne représentait qu’une goutte d’eau dans l’océan pour elles. L’argent sera utilisé par la Fondation Objective-See pour sa conférence Objective by the Sea, des livres et des outils gratuits.

Cependant, selon Wardle, l’aspect le plus important est que toutes les entreprises semblaient désireuses de faire des changements et de s’assurer que de telles pratiques soient évitées à l’avenir, ce qui était l’un des principaux objectifs du projet, en plus d’attirer l’attention sur le problème.

Les entreprises qui ont utilisé les algorithmes sans autorisation n’ont pas été nommées, mais Wardle a déclaré à SecurityWeek qu’il s’agissait à la fois de petites et de grandes entreprises qui avaient utilisé la propriété intellectuelle volée pour divers produits, notamment de simples utilitaires et des produits de sécurité macOS plus importants. Une majorité d’entre elles étaient des entreprises spécialisées dans la cybersécurité, mais les algorithmes ont également été utilisés à mauvais escient par une entreprise de technologie.

Par ailleurs, il convient de mentionner que les chercheurs ont conclu que, dans la majorité des cas, l’infraction est l’œuvre d’un seul développeur – peut-être naïf – plutôt que la “malveillance de l’ensemble de la société”.

“J’ai pensé que toute la société était probablement en train de conspirer pour voler mon organisme sans but lucratif, mais ce n’était pas le cas”, a déclaré M. Wardle.

L’objectif de cette recherche était d’encourager les autres à se pencher sur ces pratiques et d’aider les développeurs à savoir si leur code a été volé – les chercheurs pensent que cette pratique est probablement plus courante que nous le pensons. Cependant, Wardle a noté qu’il faut à la fois un développeur de logiciels et un ingénieur inverse compétent pour identifier ce type de vol.

“Peu importe que votre code soit à source fermée – si des gens veulent le voler, ils le feront”, a déclaré Wardle. “Je savais que techniquement ce n’était pas compliqué, mais je pensais que le fait que ce n’était pas open-source (à l’origine) serait un clair ‘hé, c’est privé, ne volez pas’. Apparemment non.”

Source : Securityweek

Article repris par EXCELLIS International