La société américaine a reconnu qu'il existait des portes dérobées chez ses produits StoreVirtual. Des identifiants et mots de passe permettent d'ouvrir certaines portes dérobées. Un patch devrait être disponible au plus tard le 17 juillet.
Les solutions de stockage de Hewlett-Packard ne sont apparemment pas des plus sures. Des failles de sécurité ont été identifiées concernant les appareils StoreVirtual. D'après le site d'information The Register, le problème ne date pas d'hier et existerait depuis 2009. Avec diverses preuves - noms de compte et mots de passe à l'appui - plusieurs portes dérobées permettant l'accès à des périphériques HP ont été confirmées.
Face à cette situation, HP a tenu à prévenir ses utilisateurs en déclarant que "cette vulnérabilité pouvait être exploitée à distance afin d'obtenir un accès non autorisé à des appareils". Tous les systèmes de stockage Storevirtual sont équipés d'un mécanisme qui permet à HP d'accéder au système d'exploitation de ses clients. Malheureusement, cette fonctionnalité ne peut pas être désactivée aujourd'hui, précise la compagnie.
Reconnaissant l'importance du problème, la société a annoncé qu'elle fournirait un patch à ses clients avant le 17 juillet 2013. Cela devrait enfin leur permettre de désactiver cette porte d'entrée laissée grande ouverte. HP tente toutefois de calmer le jeu et affirme que "l'accès à la racine de l'OS ne donne pas accès aux données de l'utilisateur qui sont stockées sur le système". Bien que ces données ne soient visiblement pas accessibles, une intrusion peut permettre un redémarrage du système et sa paralysie.
Les produits HP StoreVirtual sont des appareils de stockage qui utilisent le système d'exploitation personnalisé, LeftHand OS, qui n'est pas accessible à l'utilisateur final. Cet accès limité est disponible à l'utilisateur via l'interface de commande StoreVirtual mais l'accès Root est quant à lui bloqué.
Côté sécurité, il existe toujours la solution ultime : l'option reset qui restaure les paramètres d'origine, mais supprime les données de l'utilisateur.