Logitech coupe l'accès à une API non documentée puis fait demi-tour face à la grogne

Make XMPP great again !
Logitech coupe l'accès à une API non documentée puis fait demi-tour face à la grogne

Logitech aime visiblement jouer avec les nerfs de ses clients. Dernier exemple en date : le fabricant a déployé une mise à jour de sécurité fermant l'accès à une API non documentée, mais largement utilisée. Si la société s'en était expliqué, elle a fait machine arrière devant le mécontement des clients.

Les objets connectés peuvent rendre de nombreux services au quotidien, que ce soit pour gérer son chauffage, son éclairage, son alarme, etc. Ils sont par contre bien (trop ?) souvent rattaché à un service en ligne, dont ils dépendent plus ou moins directement : un incident sur les serveurs du fabricant et ce sont souvent les clients qui trinquent.

Après la mise à mort de l'Harmony Link...

Dans d'autres cas, des constructeurs décident tout simplement d'abandonner une gamme de produits du jour au lendemain, laissant les utilisateurs sans solution. C'était le cas de Logitech en novembre 2017, la société expliquant alors à ses clients que leur Harmony Link (un boitier permettant de transformer son smartphone en télécommande infrarouge) serait tout bonnement inutilisable quatre mois plus tard.

Chez les clients, c'était l'incompréhension : pourquoi un tel produit devrait cesser de fonctionner simplement parce que le fabricant l'a décidé ? Tout simplement parce que le Link avait besoin de joindre les serveurs de Logitech pour pouvoir être utilisé... même en local. Seule alternative : acheter la nouvelle version, le Hub... avec une ristourne de 35 %. 

Dans un premier temps, les clients dont le Link était encore sous garantie avaient eu droit à un échange gratuit. Mais face à la grogne, le constructeur a finalement étendu ce programme en proposant gratuitement à tous ceux ayant acheté un Link de recevoir gratuitement un Harmony Hub (la nouvelle version du produit).

Mais cela n'a semble-t-il pas servi de leçon à Logitech, qui a de nouveau joué avec les nerfs de ses clients sur cette gamme de produits... avant de faire encore une fois demi-tour.

... Logitech coupe des fonctionnalités du Harmony Hub

Pour renforcer la sécurité et boucher des failles de sécurité signalées par des experts de chez Tenable (le détail est disponible par ici), le constructeur a mis en ligne un firmware 4.15.206 pour son boîtier Harmony Hub. La brèche lui avait été signalée le 31 octobre, qui l'a corrigé le 11 décembre avec ce nouveau firmware (sans prévenir Tenable de sa publication).

C'est à ce moment là que les premiers grognements sont remontés à la surface, notamment sur les réseaux sociaux : des objets connectés refusaient de fonctionner, sans raison apparente. Via une publication sur ses forums, Logitech a donné des explications : « Nous sommes conscients que des clients utilisant des API Harmony non documentées sont des dommages collatéraux du colmatage de ces vulnérabilités ».

Le constructeur a précisé à Ars Technica que c'est « l'interface XMPP, utilisée dans le cadre de la procédure de configuration, a été signalée comme un canal de communication non sécurisée. Nous l'avons supprimé dans le but d'améliorer la sécurité du hub ». Elle était pourtant utilisée depuis des années, sans que cela ne semble poser le moindre souci.

Une pratique commune à plusieurs constructeurs qui veulent attirer les bidouilleurs avec des API ouvertes de ce genre, qu'ils documentent peu ou pas, et peuvent ainsi agir dessus quand bon leur semble sans avoir (pensent-ils) à s'en justifier.

Logitech rejette la faute sur les développeurs

Ainsi, plutôt que proposer une solution en sécurisant l'accès, Logitech a dans un premier temps expliqué que « ces API privées n'ont jamais été supportées officiellement » et qu'il « est regrettable que des clients les utilisant soient affectés par ce correctif. Mais la sécurité générale de nos produits et de l'ensemble de nos clients est notre priorité ».

Bref, aucune solution n'était alors envisagée pour rouvrir les API et la recommandation officielle était simplement de passer au firmware 4.15.206. Si besoin, Todd Walker (directeur marketing chez Logitech) confirmait ce point sur Twitter : « Actuellement, nous n'envisageons pas d'ajouter de support pour le contrôle local ».

Pour les clients demandant un remboursement, la réponse était tout aussi expéditive : « l'accès à ces API n'était pas un service livré avec le produit, et n'a jamais été revendiquée comme une fonctionnalité » du Harmony Hub.

Comme lors de l'annonce de la mise à mort du Harmony Link, il n'a pas fallu attendre bien longtemps pour que le fabricant retourne sa veste. Il faut dire que les utilisateurs et les développeurs tiers étaient assez virulents, notamment Home Assistant) : « Nous avons entendu vos préoccupations [...] nous cherchons une solution à ceux qui voudraient toujours un accès malgré les risques de sécurité inhérents », expliquait Logitech tout juste deux jours après les tweets de Todd Walker.

Un firmware bêta avec failles de sécurité, annulant la garantie

Un programme « bêta XMPP » a ainsi été mis en place dans la foulée, pour continuer d'accéder aux fonctionnalités qui avaient été bloquées. Logitech prévoit de proposer un nouveau firmware en version finale dans le courant du mois de janvier, sans plus de détails sur les éventuels correctifs qui seront mis en place.

Le fabricant met en garde : « Il s’agit de la version 4.15.210 qui n’a pas le correctif de sécurité critique nécessaire pour vous protéger contre les vulnérabilités XMPP. L'utilisation de cette version peut créer un point d'accès local non sécurisé vulnérable au piratage. Nous recommandons à tous les utilisateurs d’installer la version normale (actuellement la 4.15.206) ». 

Pire encore, « en installant cette version et en apportant des modifications non autorisées au logiciel Logitech, vous annulez la garantie » de votre produit prévient le constructeur. Pour continuer malgré tout, il faut cliquer sur Update Firmware.

L'installation passe par le logiciel MyHarmony de Logitech. Une fois lancé, tapez la combinaison de touches Alt + F9 lors de la phase d'identification sous Windows. Sur macOS, deux possibilités : Fn + Option + F9 ou Option + F9. Vous arrivez alors sur la page Update Remote où vous trouverez le bloc nommé : Firmware pour activer XMPP. Pour développeurs seulement.

Bien entendu, nous ne pouvons que vous déconseiller de l'installer tant que le patch annoncé n'a pas été déployé. On regrette au passage la méthode à nouveau employée par Logitech, tant dans sa réaction suite à la découverte de la faille, que la méthode choisie ou la réponse finalement apportée. 

Logitech Harmony Hub XMPP API Logitech Harmony Hub XMPP API

Ce contenu est désormais en accès libre

Il a été produit grâce à nos abonnés, l'abonnement finance le travail de notre équipe de journalistes.

ou choisissez l'une de nos offres d'abonnement :

15 commentaires
Avatar de js2082 Abonné
Avatar de js2082js2082- 26/12/18 à 09:37:58

On regrette au passage la méthode à nouveau employée par Logitech, tant dans sa réaction suite à la découverte de la faille, que la méthode choisie ou la réponse finalement apportée.

Pourquoi cela? Il est pourtant clair que cette API n'était pas une fonction prévue par Logitech, que ce sont des éléments privés indépendants d'eux.

Si les utilisateurs râlent, n'est-ce pas plutôt vers les développeurs de ces API qu'ils devraient se tourner? Quand windows met à jour son OS suite à des problèmes de secu, si une API marche pas, c'est à son développeur de s'adapter, pas à MS.

Édité par David_L le 26/12/2018 à 09:59
Avatar de David_L Équipe
Avatar de David_LDavid_L- 26/12/18 à 10:01:08

(quote:38605:js2082) ...

L'API est fournie par Logitech, mais pas documentée. Typiquement, c'est plutôt pour leur propre usage, et pour ceux qui aiment bidouiller. Et comme souvent, c'est largement utilisé.

Mais comme dit, en cas de souci, le constructeur se dit qu'il peut tirer un trait sur la fonctionnalité, en oubliant qu'il a largement misé dessus pour que son produit se développe auprès d'un public qui en tirait parti.

Avatar de AirTé Abonné
Avatar de AirTéAirTé- 26/12/18 à 12:01:37

En tout cas j’ai Une Harmony depuis plusieurs années et j’en suis pleinement satisfait pour le moment. Les réglages sont toujours un peu trop lourds mais une fois réglé, c’est parfait.

En tout cas, c’est pas cool pour le cas présent. La chose étonnante (ou pas) c’est que je me suis souvent servi de la télécommande réseau coupé sans problème. Bon, faut dire que je m’en sers de manière traditionnelle pour le moment. Je verrais bien ce qu’il en sera lorsque j’aurais déménagé et mis de la domotique partout :D

Avatar de Jaskier Abonné
Avatar de JaskierJaskier- 26/12/18 à 12:34:34

(quote:38609:AirTé) En tout cas j’ai Une Harmony depuis plusieurs années et j’en suis pleinement satisfait pour le moment. Les réglages sont toujours un peu trop lourds mais une fois réglé, c’est parfait.En tout cas, c’est pas cool pour le cas présent. La chose étonnante (ou pas) c’est que je me suis souvent servi de la télécommande réseau coupé sans problème. Bon, faut dire que je m’en sers de manière traditionnelle pour le moment. Je verrais bien ce qu’il en sera lorsque j’aurais déménagé et mis de la domotique partout :D

Le problème, c'est que depuis plusieurs mois, le hub est devenu encore plus dépendant du net. C'est ce que j'ai pu voir via mon pihole, il n'arrête pas de faire des requêtes sur pubnub pour savoir si des commandes auraient été lancées de l'extérieur via leur application.

Avatar de Quiproquo Abonné
Avatar de QuiproquoQuiproquo- 26/12/18 à 17:32:26

Je pense que pour l'annulation de garantie ils se touchent un peu…

Avatar de Patch Abonné
Avatar de PatchPatch- 27/12/18 à 13:52:34

Conclusion : avant d'acheter une Harmony, basculer chez la concurrence...

(quote:38611:Quiproquo) Je pense que pour l'annulation de garantie ils se touchent un peu…

Pareil. Ca m'étonnerait fort que ca passe devait un tribunal.

Avatar de white_tentacle Abonné
Avatar de white_tentaclewhite_tentacle- 28/12/18 à 06:20:06

(quote:38635:Patch) Conclusion : avant d'acheter une Harmony, basculer chez la concurrence...

Si tu connais une concurrence, n’hésite pas à donner des noms. Le soucis des produits Harmony, c’est qu’ils n’ont pas de réelle concurrence (non, une télécommande chinoise à 3€ ne rend pas le même service)

Avatar de brazomyna Abonné
Avatar de brazomynabrazomyna- 28/12/18 à 12:44:59

(quote:38642:white_tentacle) Si tu connais une concurrence, n’hésite pas à donner des noms. Le soucis des produits Harmony, c’est qu’ils n’ont pas de réelle concurrence (non, une télécommande chinoise à 3€ ne rend pas le même service)

On parle dans l'article du 'harmony hub' ; ça semble être un truc qu'on pilote avec une interface sur son smartphone pour automatiser certaines tâches et communiquer avec différents périphériques.

Sur ces aspects là, la concurrence existe, notamment via des softs de domotique 'full local' et open-source (genre Jeedom ou d'autres) et leur bardée de 'plugins' pour dialoguer avec plein de périphériques différents.

Après, si tu parles des télécommandes harmony (on est déjà en HS vis à vis de l'article) ; effectivement on n'a pas grande concurrence pour des telcos évoluées avec un écran dessus ; ceci dit, en 2018, j'ai de plus en plus de mal à voir la valeur ajoutée comparée à un smartphone qu'on a déjà tous dans nos poches (où un supplémentaire dédié qu'on trouvera facilement pour quelques dizaines d'euros). Ou alors j'ai raté un truc.

Édité par brazomyna le 28/12/2018 à 12:49
Avatar de AirTé Abonné
Avatar de AirTéAirTé- 28/12/18 à 13:20:42

Un smartphone ne remplace pas le toucher d’une télécommande. Dans le noir je peux utiliser la totalité des fonctions de la télécommande alors qu’avec un smartphone c’est impossible.

Avatar de barlav Abonné
Avatar de barlavbarlav- 28/12/18 à 14:58:04

(quote:38647:AirTé) Un smartphone ne remplace pas le toucher d’une télécommande. Dans le noir je peux utiliser la totalité des fonctions de la télécommande alors qu’avec un smartphone c’est impossible.

:bravo:

Quel doigté! On est en plein monde digital là!

Il n'est plus possible de commenter cette actualité.
Page 1 / 2

Votre commentaire

Avatar de lecteur anonyme
Avatar de lecteur anonyme

2000 - 2019 INpact MediaGroup - SARL de presse, membre du SPIIL. N° de CPPAP 0321 Z 92244.

Marque déposée. Tous droits réservés. Mentions légales et contact