Point sur l'avancement des mesures correctives de sécurité concernant les systèmes de diagnostic à distance Yarbo

Le présent point fait suite à notre avis de sécurité du 8 mai 2026. Depuis cette divulgation, nos équipes d'ingénierie et de sécurité ont continué à examiner et à corriger les problèmes identifiés, y compris les découvertes supplémentaires qui nous ont été communiquées dans le cadre d'une divulgation coordonnée par le chercheur en sécurité Andreas Makris.

Nous publions ce point afin de garantir la transparence auprès de nos clients et de la communauté de sécurité au sens large concernant les mesures de correction et les améliorations de sécurité mises en œuvre à ce jour.

Mesures de correction mises en œuvre

Les mesures suivantes ont été mises en œuvre et déployées sur l'ensemble des systèmes et appareils concernés. Les mises à jour sont fournies automatiquement dès que les appareils sont connectés à Internet, et les clients n'ont aucune action manuelle à effectuer pour les recevoir. Le processus de mise à jour peut prendre environ 30 minutes, en fonction des conditions du réseau et de l'état de l'appareil.

1. Rotation et remplacement des identifiants root historiques des appareils

Les identifiants root historiques au niveau du parc, précédemment associés aux anciens workflows de maintenance, ont été retirés.
Des identifiants de remplacement ont été générés et déployés dans le cadre du processus de correction.
Les identifiants hérités ont été invalidés et ne sont plus utilisés dans les déploiements actuels ni dans les workflows de provisionnement.

2. Révocation des identifiants d'accès à distance FRP historiques

Les identifiants partagés historiques associés aux anciens workflows d'assistance à distance basés sur FRP ont été révoqués et détruits.
Les chemins de connexion et les configurations côté serveur FRP associés ont été désactivés.
En conséquence, les identifiants FRP hérités précédemment identifiés ne peuvent plus être utilisés pour établir des connexions SSH inversées à distance.

3. Suppression des mécanismes d'accès statiques de l'application mobile

Les versions mises à jour de l'application mobile Yarbo ne contiennent plus d'identifiants statiques ni de mécanismes d'accès intégrés permettant une authentification directe auprès des services backend.

4. Suppression des scripts inutiles, des dépendances héritées et des configurations réseau non essentielles

Les scripts de rapport et les composants de télémétrie qui ne remplissaient plus une fonction opérationnelle ou produit nécessaire ont été supprimés des versions du micrologiciel.
Les dépendances héritées de services cloud qui ne sont plus associées à des fonctionnalités actives du produit ont été supprimées.
Les chemins de proxy tiers non essentiels et les configurations de secours liées au DNS ont été mis hors ligne ou supprimés des environnements de déploiement actifs.

Correction en cours

L'initiative suivante est en cours de développement et sera mise en œuvre lors d'une mise à jour ultérieure :
  • Nous sommes en train de refondre notre système de gestion des identifiants afin de remplacer tous les modèles d'identifiants partagés restants par des identifiants individuels, spécifiques à chaque appareil. Chaque identifiant pourra faire l'objet d'une rotation et d'une révocation indépendantes, garantissant ainsi que la compromission d'un seul appareil n'affectera pas l'ensemble du parc.
  • Ce travail vise à prévenir les scénarios d'exposition généralisée du système résultant de la compromission d'un appareil ou d'un ensemble d'identifiants individuel.
  • D'autres mises à jour de correction et de renforcement de la sécurité continueront d'être publiées via le Centre de sécurité Yarbo à mesure que les travaux avancent.

L'équipe de sécurité Yarbo