Huawei se défend d'avoir proposé un correctif bogué pour le noyau Linux

Par:
admin

mer, 13/05/2020 - 15:03

Ce patch a été soumis dimanche 10 mai 2020 au projet officiel du noyau Linux via sa liste de diffusion. Baptisé HKSP, pour Huawei Kernel Self Protection, le correctif propose d'introduire des renforcements de la sécurité dans le noyau Linux.

Ce correctif a suscité l'intérêt de la communauté Linux en général et en particulier de Grsecurity, un projet qui fournit son propre ensemble de correctifs de sécurité pour le noyau Linux. Après avoir examiné ce correctif, Grsecurity a publié un billet qui vaut le détour.

En effet, selon Grsecurity, ce correctif, s'il était approuvé, introduirait dans le noyau Linux une vulnérabilité facilement exploitable. 'De façon triviale', selon les termes du billet.

Dès lundi 11 mai, Huawei a réagi en déclarant que la société n'avait aucune implication officielle dans le projet HKSP, malgré le fait que le projet comporte le nom Huawei dans son titre.

Huawei a ajouté que le projet a été créé et soumis au projet de noyau Linux par un ingénieur, sans son soutien formel, et que le code HKSP n'a jamais été réellement utilisé dans aucun des produits officiels de Huawei. La société a ajouté : "Ce n'est que le code de démonstration utilisé par un individu pour une discussion technique avec la communauté open source Openwall".

Parallèlement, le fichier README du dépôt de ce code sur GitHub a été modifié, afin de préciser en long, en large et en travers que le code n'est pas lié à Huawei et qu'il s'agit d'un projet personnel. Toutefois, le référentiel GitHub du code est sous github.com/cloudsec, qui appartient à Huawei.

De son côté, Grsecurity écrit : Sur la base d'informations accessibles au public, nous savons que l'auteur du correctif est un employé de Huawei, et malgré les tentatives de se distancier du code après la publication de cet article, le projet conserve toujours le nom de Huawei. [Comprendre :  le H pour Huawei dans HKSP] En outre, sur la base d'informations provenant de nos sources, l'employé est un membre du personnel de sécurité principal de niveau 20, le plus haut niveau technique au sein de Huawei.

Puis, un peu plus loin : Le correctif lui-même est criblé de bogues et de faiblesses. Puis le billet donne un exemple de ce code pour en illustrer la médiocrité.

Dans un contexte mondial qui voit Huawei accusé d'introduire des portes dérobées dans les appareils qu'elle fabrique, des membres de la communauté Linux se sont demandés si ce correctif n'était pas en fait une tentative sournoise d'introduire des vulnérabilités dans le noyau Linux.