Recours légal? Nissan équilibre les retombées concurrentielles et sécuritaires de la fuite de code source

Les informations selon lesquelles le code source des outils de Nissan North America a été divulgué en ligne en raison d’un serveur Git mal configuré soulèvent des questions non seulement sur les cyberattaques potentielles de mauvais acteurs, mais aussi sur la possibilité pour les concurrents d’utiliser les données sensibles contre le géant de l’automobile.

Les offres Nissan associées au code source divulgué couvraient toute la gamme des applications mobiles Nissan Amérique du Nord et de la bibliothèque mobile de base interne de Nissan à certaines parties de l’outil de diagnostic Nissan ASIST et des outils et données de recherche sur les ventes et le marketing. Le serveur Git a depuis été mis hors ligne, après que les données aient commencé à être partagées sur Telegram et sur les forums de piratage.

Sur la base de discussions avec des avocats spécialisés en propriété intellectuelle, Nissan peut avoir certains recours en matière de dépôt d’injonctions et de poursuites en dommages-intérêts en vertu des lois sur les droits d’auteur, les secrets commerciaux et les brevets. Pour ce faire, le constructeur automobile devra dépenser beaucoup de ressources pour retrouver les contrevenants et les traduire en justice. Cela suppose que les contrevenants se trouvent aux États-Unis et que la société pourrait prendre des mesures en vertu de la loi américaine.

Thomas Moga, conseiller principal et avocat spécialisé en propriété intellectuelle chez Dykema, qui compte de nombreux clients automobiles, a déclaré que, selon le US Copyright Office, les lois protègent les œuvres d’auteur originales «fixées dans un moyen d’expression tangible». Moga a ajouté que selon cette définition, le code source peut bénéficier d’une protection en vertu des lois sur le droit d’auteur.

“Il semble donc que Nissan possède un droit d’auteur sur le code source et qu’il pourrait bien être en mesure d’intenter une action contre les utilisateurs non autorisés de son code source”, a déclaré Moga. «Mais c’est à Nissan de poursuivre ces actions; Je pense que nous pouvons nous attendre à ce qu’ils soient très agressifs, comme ils devraient l’être. »

Jennifer DeTrani, avocate générale et vice-présidente exécutive de Nisos, a ajouté que Nissan pourrait potentiellement intenter des poursuites dans le cadre d’une stratégie juridique visant à réparer les dommages à la réputation causés par la fuite, montrant au public qu’ils sont sérieux dans la protection de leurs véhicules. Mais les recours juridiques ne rapporteraient pas grand-chose.

«Recueillir des dommages-intérêts en vertu de la loi sur le droit d’auteur suppose qu’il y a quelqu’un avec les poches profondes pour poursuivre qui paierait», a déclaré DeTrani. «Tout avocat compétent pourrait faire rejeter l’affaire en signalant au tribunal que la société ne protégeait pas adéquatement ces secrets», étant donné que la société conservait le nom d’utilisateur et le mot de passe par défaut d’admin / admin. Et «bien que des éléments brevetés, et donc protégeables, puissent exister dans la bibliothèque de codes, ils devraient prouver qu’un concurrent a enfreint son brevet pour utiliser cette approche.»

DeTrani a ajouté que c’est principalement à Nissan de combler le trou béant dans leur posture de sécurité, de réécrire et de recommencer. Elle a dit qu’une fois que le code source a été ouvertement partagé, cela laisse généralement une entreprise avec très peu d’options. Nissan pourrait également intenter des poursuites avec les plates-formes où le code est partagé et essayer de le faire supprimer, mais cela ne sera pas très efficace, a déclaré DeTrani.

«Les sociétés de plate-forme reçoivent souvent des notifications indiquant qu’elles enfreignent les droits de propriété», a déclaré DeTrani. «Il devient très difficile de statuer sur ces droits au sein des plates-formes, même si les termes et conditions peuvent techniquement protéger un titulaire de droits.» Si Nissan, par exemple, affirmait que son droit d’auteur était violé, de nombreux droits d’auteur ne sont pas enregistrés et une plate-forme nécessiterait une ordonnance du tribunal pour s’impliquer. Même dans ce cas, les entreprises de plateformes sont inondées de demandes. Peut-être plus remarquable, a déclaré DeTrani, «le mal est déjà fait, car le code a été extrait dans des bibliothèques privées que les pirates maintiennent séparément des plates-formes sur lesquelles le code peut apparaître initialement.»

Le point de vue des professionnels de la sécurité

La nouvelle de la brèche est devenue publique lorsque Tillie Kottmann, l’ingénieur logiciel basé en Suisse qui a appris la fuite d’une source anonyme, a partagé son analyse avec ZDNet, qui a rapporté que Nissan avait confirmé avoir mené une enquête concernant un accès inapproprié au code source propriétaire de l’entreprise.

Nissan a déclaré qu’il prenait l’affaire au sérieux et qu’il était convaincu qu’aucune donnée personnelle des consommateurs, des concessionnaires ou des employés n’était accessible dans cet incident de sécurité. Le constructeur automobile a déclaré que le système affecté a été sécurisé et qu’il est “convaincu qu’il n’y a aucune information dans le code source exposé qui mettrait les consommateurs ou leurs véhicules en danger.”

Justin Zeefe, co-fondateur et PDG de Nisos, a déclaré qu’il était moins préoccupé par le fait que l’un des concurrents de Nissan obtienne le code source par rapport aux dommages potentiels d’un pirate informatique malveillant.

“Je pense qu’il y aura des gens qui chercheront des moyens de monétiser cette brèche”, a déclaré Zeefe. «Un pirate malveillant qui souhaite démontrer sa capacité pourrait potentiellement trouver dans le code un moyen de manipuler le logiciel pour causer des dommages physiques à la voiture et potentiellement aux occupants. Je ne peux pas parler de la plausibilité spécifique dans ce cas, mais à mesure que le physique et le numérique continuent de fusionner, la perte de propriété intellectuelle peut faire plus que nuire à la réputation. “

Stephen Banda, directeur principal des solutions de sécurité chez Lookout, a déclaré que si les équipes de sécurité devraient toujours donner la priorité à la prévention des accès non autorisés au système et des fuites de données, cela devient particulièrement important lorsque les fuites de données peuvent compromettre la confidentialité des clients ainsi que la sécurité physique.

«Aujourd’hui, toute personne possédant un véhicule plus récent peut utiliser une application mobile pour exécuter un certain nombre de fonctions, telles que le démarrage du moteur, le verrouillage / déverrouillage des portes, la définition d’un programme de démarrage à distance quotidien ou le stockage de l’historique des trajets», a déclaré Banda. “Cependant, comme le montre la fuite de données de Nissan, chaque fois que nous utilisons des applications mobiles en général, nous devons comprendre le compromis de risque potentiel que nous faisons pour la commodité que ces applications offrent.”

En divulguant le code source à son application de véhicule mobile ainsi qu’à sa bibliothèque mobile de base interne, Nissan a fourni aux pirates une feuille de route pour le développement d’applications malveillantes et de logiciels malveillants ciblant les utilisateurs, a déclaré Banda. Cela pourrait permettre aux cybercriminels d’accéder aux informations sur les conducteurs et aux modes d’utilisation, ainsi que potentiellement permettre le contrôle des fonctions de base du véhicule, telles que le verrouillage / déverrouillage des portes, présentant un risque de vol de véhicule ainsi qu’un risque pour la sécurité du conducteur.

«Les cybercriminels sont également susceptibles de tirer parti des attaques de phishing se faisant passer pour Nissan pour déposer des logiciels malveillants ou obtenir des informations d’identification», a déclaré Banda. “Les utilisateurs doivent s’assurer de vérifier les informations de l’expéditeur avant de répondre à tout message.”

Laurence Pitt, directrice de la stratégie de sécurité mondiale chez Juniper Networks, a déclaré que d’autres constructeurs automobiles se sont fait voler des données via une mauvaise configuration du serveur Git. Mercedes a souffert du même embarras lorsqu’une violation de code source pour des composants de voiture intelligente a divulgué des données en mai 2020.

Mais où est la vraie valeur?

«Les données sont précieuses dans la mesure où les acheteurs et les téléchargeurs de ces données les utiliseront pour effectuer une rétro-ingénierie du code, rechercher les points faibles des portails Web et trouver des moyens de pirater les consoles, soit pour obtenir des avantages concurrentiels, soit pour des applications plus sombres et plus dommageables. raisons », a déclaré Pitt. «Dans les cas de Nissan et de Mercedes, les données ont été laissées exposées sur un serveur connecté à Internet non sécurisé – une simple recherche sur Google les trouvera. Nous devons nous rappeler que Google indexe tout ce qu’il peut voir et valider. Par conséquent, les données non chiffrées et sans mot de passe sont une bonne chose. »

Pitt a déclaré que les organisations gérant du code source doivent adopter une approche proactive de leur sécurité pour éviter que cela ne se produise. Considérez les éléments suivants comme une sécurité fondamentale qui doit être vérifiée et exécutée en continu dans toute entreprise:

• Protégez les zones de données privées à l’aide de l’authentification, de systèmes multifactoriels et de restrictions IP.
• Cryptez les données au repos et les données en mouvement.
• Exécutez des requêtes Google dork régulières sur les systèmes au cas où quelque chose se présenterait.
• Si quelque chose apparaît, demandez à Google de le supprimer avec sa console de recherche.
• Assurez-vous que les données sensibles ne peuvent pas être indexées à l’aide d’un fichier robots.txt (cela empêchera Google, mais pas tous les moteurs de recherche).