La faille de cybersécurité de BlackBerry peut affecter votre appareil médical

Une faille dans le logiciel de BlackBerry a potentiellement laissé certains appareils médicaux vulnérables au piratage, mais la société aurait choisi de garder le silence sur le problème pendant des mois.

Mieux connu pour ses smartphones à l’ancienne, BlackBerry est devenu un fournisseur majeur de logiciels pour équipements industriels, dont QNX, qui alimente une variété d’infrastructures critiques, notamment des machines d’usine et des appareils médicaux.

La FDA a publié mardi un avis sur les vulnérabilités de cybersécurité avec un système d’exploitation en temps réel (RTOS) conçu par QNX et détenu par BlackBerry. Ces vulnérabilités peuvent introduire des risques pour certains dispositifs médicaux, bien que l’agence ait déclaré qu’elle n’était actuellement au courant d’aucun événement indésirable confirmé lié à ces vulnérabilités.

La FDA a déclaré que les fabricants évaluaient les appareils médicaux susceptibles d’être affectés par les vulnérabilités de cybersécurité de BlackBerry QNX, évaluaient les risques et développaient des mesures d’atténuation pouvant inclure des correctifs logiciels de BlackBerry. L’agence adresse toutes les questions liées à ce problème à la Cybersecurity and Infrastructure Security Agency (CISA).

Selon un avis de CISA, BlackBerry a publiquement révélé mardi que son RTOS QNX est affecté par une vulnérabilité BadAlloc – CVE-2021-22156. BadAlloc est une collection de 25 vulnérabilités affectant plusieurs RTOS et bibliothèques de support. Un attaquant distant pourrait exploiter CVE-2021-22156 pour provoquer un déni de service ou exécuter du code arbitraire sur les appareils concernés, a noté l’agence de cybersécurité. Bien que l’agence ait déclaré qu’elle n’était actuellement pas au courant de l’exploitation active de cette vulnérabilité, un pirate informatique pourrait potentiellement prendre le contrôle de systèmes hautement sensibles en raison des types de produits utilisant le BlackBerry QNX RTOS.

Si vous possédez des produits de la marque BlackBerry, mais que vous ne souhaitez pas exposer vos données sensibles, vous pouvez examiner ici la liste des meilleurs services VPN gratuits et choisir celui qui convient à vos besoins.

BlackBerry a-t-il tenu ses clients dans l’ignorance ?

La préoccupation la plus sérieuse concernant cette nouvelle est peut-être que BlackBerry aurait attendu cette semaine pour divulguer publiquement le problème, lorsque d’autres sociétés de logiciels affectées par BadAlloc ont révélé les failles en mai, après que les chercheurs en sécurité de Microsoft aient découvert la vulnérabilité fin avril.

Selon un Politique rapport publié mardi, qui citait deux « personnes anonymes familières avec les discussions entre BlackBerry et les responsables fédéraux de la cybersécurité, dont un employé du gouvernement », la société a initialement nié que BadAlloc ait eu un quelconque impact sur ses produits. Plus tard, la société aurait refusé de faire une annonce publique, même si elle n’a pas pu identifier tous les clients utilisant le logiciel.