En 2019, un chercheur en sécurité a contacté Logitech au sujet de trois vulnérabilités potentielles liées au récepteur Unifying de Logitech. Depuis, nous sommes en contact avec lui pour évaluer ses allégations et y répondre si nécessaire.

Nous tenons à vous rassurer sur le fait que cette recherche a été menée dans un environnement contrôlé. Les vulnérabilités nécessiteraient un équipement et des compétences spécifiques, ainsi que la proximité de l'ordinateur ou du dispositif de la cible, voire un accès physique à celui-ci.

Les personnes soucieuses de leur confidentialité doivent prendre note des mesures de sécurité informatique décrites dans les questions/réponses ci-dessous et les appliquer.

L'une des vulnérabilités a été corrigée par les mises à jour du micrologiciel et vous pouvez télécharger la dernière version ici.

Nous prenons la confidentialité de nos clients très au sérieux, et ces résultats nous aident à améliorer continuellement nos produits.

Q: Quelles sont les vulnérabilités signalées par le chercheur en sécurité?
R: Trois vulnérabilités potentielles ont été signalées. Deux d'entre elles concernent l'extraction de la clé de chiffrement qui sécurise la communication entre le dispositif Logitech et le récepteur USB Logitech Unifying. Le troisième concerne le franchissement des obstacles à l’injection de frappes entre le dispositif et le récepteur USB.

Une personne essayant de les reproduire aurait besoin d'une expertise et d'un équipement spécial, en se trouvant à moins de 10m. Elle devra agir pendant les quelques secondes pendant lesquelles quelqu'un recouplera un dispositif au récepteur Unifying ou aura besoin d'un accès physique au dispositif ou à l'ordinateur de la cible.

Q: Comment dois-je protéger ma vie privée lorsque j'utilise mes produits Logitech?
R: Vous pouvez protéger votre vie privée en appliquant certains principes de base lorsque vous utilisez votre ordinateur et vos produits Logitech.

Tout d'abord, suivez les mesures de sécurité qui font preuve de bon sens dans un bureau ou une maison classique, et ne laissez jamais des étrangers utiliser ou altérer physiquement votre ordinateur ou vos dispositifs d'entrée.

Deuxièmement, tous nos dispositifs Unifying sont couplés en toute sécurité à un récepteur sans fil lorsqu'ils sont produits et le couplage n'est pas nécessaire par la suite. Cependant, la possibilité de coupler un deuxième, troisième ou quatrième dispositif à un seul récepteur USB est l'un des avantages de notre technologie sans fil Unifying, si bien que nous l'activons via un simple logiciel. Si vous devez coupler un dispositif à un récepteur Unifying, cette procédure peut permettre à un pirate informatique disposant de l'équipement et des compétences adéquats et physiquement proche de votre ordinateur de "détecter" la clé de chiffrement. Cette brève procédure ne doit être effectuée que si vous êtes absolument certain qu'il n'y a pas d'activité suspecte à moins de 10 m/30 pieds.

Remarque: si votre dispositif cesse de fonctionner, cela n'est jamais dû à une perte de couplage avec le récepteur USB. Un nouveau couplage n'est donc pas nécessaire pour résoudre le problème.

Q: Quels produits Logitech sont concernés par ces signalements?
R: Les souris et claviers utilisant le protocole sans fil Unifying de Logitech. Vous pouvez identifier les produits Unifying grâce à un petit logo orange sur le récepteur USB sans fil, avec une forme à six points. La télécommande de présentation Spotlight et le dispositif de présentation R500 sont également concernés.

En outre, les produits gaming Lightspeed de Logitech sont concernés par les vulnérabilités d'extraction de la clé de chiffrement.

Q: Puis-je installer une mise à jour du micrologiciel pour me protéger contre cela? Comment?
R: Deux de ces vulnérabilités (appelées CVE-2019-13053 et CVE-2019-13052) seraient difficiles à exploiter pour un pirate et peuvent être protégées efficacement en appliquant les directives de confidentialité informatique ci-dessus. Nous ne les aborderons pas avec une mise à jour du micrologiciel, car cela aurait un impact négatif sur l'interopérabilité avec d'autres dispositifs Unifying.

Cependant, nous prenons la sécurité très au sérieux et nous recommandons à nos clients de mettre à jour leurs récepteurs USB sans fil Unifying avec la dernière version du micrologiciel. Les mises à jour du micrologiciel publiées depuis août 2019 traitent de la troisième vulnérabilité (connue sous le nom de CVE-2019-13054/55) et la dernière version du micrologiciel peut être téléchargée ici.

Pour les utilisateurs de PC et Mac: Vous pouvez télécharger un outil de mise à jour simple ici

Pour les utilisateurs Linux: Nous distribuerons le micrologiciel mis à jour via le service de micrologiciel du fournisseur Linux à l'adresse https://fwupd.org/

Nos clients professionnels peuvent télécharger un outil déployable de manière centralisée pour PC ici:
Télécharger l'outil Script DFU