Dans une réaction à Data News, Huawei déclare qu'il ne s'agit que de systèmes internes et nullement de sites, logiciels ou systèmes avec qui des clients ou des données de clients sont entrés en contact.

Swascan, une firme de cyber-sécurité italienne qui avait précédemment déjà décelé des bugs chez Adobe, Microsoft et Lenovo, a découvert récemment aussi quelques problèmes critiques dans des applications et serveurs d'Huawei.

Selon Swascan, elle aurait identifié plusieurs problèmes critiques dans des applications web d'Huawei. Ceux-ci pourraient être abusés pour menacer la sécurité des données d'utilisateurs, mais aussi le bon fonctionnement de services.

Après cette découverte, Swascan a pris contact avec Huawei pour l'informer sur les failles trouvées et pour initier une collaboration en vue de résoudre le problème.

Aucun détail

Mais rien n'a filtré à propos de l'endroit où les bugs ont été découverts précisément. Swascan mentionne trois bugs sur son site, à savoir CWE-119, CWE-125 et SWE-78, mais n'explique pas dans quels logiciels ni avec quel équipement ils pourraient être abusés. Selon the Register, Swascan s'est vue interdire par Huawei de donner plus d'informations que ce qui se trouve actuellement sur le communiqué de presse.

Huawei n'est en soi pas obligée de fournir tous les détails sur ce genre de failles sécuritaires. C'est ainsi que d'autres entreprises ne révèlent pas avoir fait ce genre de découverte. Or Huawei tente cette année d'insister sur le fait qu'elle est une organisation ouverte et transparente. En même temps, l'entreprise fait encore et toujours l'objet d'accusations d'espionnage (présumé) de la part des Etats-Unis. Cela peut également jouer un rôle dans sa décision de ne pas donner trop de notoriété aux bugs découverts dans ses logiciels.

En collaboration avec Dutch IT-Channel.

Update 12 juillet:

Huawei fait savoir à Data News que les failles découvertes ne se manifestaient que sur des sites web internes, comme un site sur lequel des employés réservent des voyages professionnels. Il ne s'agit donc ni de systèmes publics ni de logiciels ou d'appareils de clients. L'article a donc été adapté à des fins explicatives.

En outre, l'entreprise insiste sur le fait qu'elle n'a jamais sommé Swascan de se taire à propos de la découverte en question.