Sécurité IT : Dell n’en a pas fini avec les certificats

AuthentificationRisquesSécurité
edellroot-dell
3 7

Exposé au vol sur les PC portables de Dell, le certificat électronique eDellRoot peut être utilisé à d’autres fins que la seule usurpation de sites Web.

Le dossier eDellRoot est délicat à gérer pour le principal intéressé ; en l’occurrence, Dell.

Ce lundi, on apprenait que le groupe américain avait implanté, sur un nombre indéterminé de PC portables, un certificat électronique présentant une faille de sécurité.

L’alerte avait été lancée sur reddit par le propriétaire d’un XPS 15 qui avait découvert, dans le cadre d’une opération de maintenance, le certificat en question.

Ce dernier – baptisé eDellRoot – est classé par de nombreux logiciels comme étant « de confiance ». Ce qui lui permet de signer, avec sa clé privée, un certain nombre d’autres certificats via leurs clés publiques. Par exemple dans les navigateurs Web, pour vérifier les identités lors d’une connexion sécurisée (HTTPS) à un domaine.

Problème : eDellRoot et sa clé privée peuvent être récupérés par des tiers via des outils largement diffusés, comme Jailbreak de NCC Group. Quiconque parvient à l’extraire et à en créer une copie peut l’utiliser pour signer un logiciel malveillant ou pour l’associer à un site Web frauduleux qui déchiffre l’ensemble des données envoyées par les internautes.

Ces premières conclusions ont été approfondies par les experts en sécurité IT. Ainsi les équipes de Duo Security (spécialiste de l’authentification forte) se sont-elles aperçues que le certificat incriminé pouvait aussi se trouver sur des systèmes SCADA (« Supervisory Control And Data Acquisition »), exploités pour gérer des réseaux intelligents ou encore des chaînes de production.

Un lien a également été établi avec Dell Foundation Services, logiciel que le troisième constructeur mondial d’ordinateurs utilise pour faciliter l’assistance technique à distance.

Afin d’identifier clairement chaque machine et sa configuration, le support en ligne récupère, via Dell Foundation Services, un « system service tag », que l’on trouve par ailleurs sur un autocollant généralement apposé sous le laptop.

Mais la transmission de cet identifiant unique est effectuée… via eDellRoot. Bilan : n’importe quelle personne disposant des outils adéquats (un site de démonstration a été mis en place) peut y accéder et s’en servir, entre autres, pour pister les utilisateurs sur le Web, même en mode navigation privée avec suppression des cookies.

Le « system service tag » peut aussi être renseigné sur cette page pour obtenir des informations de garantie. De quoi faciliter la démarche des pirates qui se feraient passer pour des équipes de support, que ce soit de Dell ou de Microsoft.

En l’état actuel, Dell a présenté ses excuses et propose des instructions pour supprimer eDellRoot. Un exécutable est également disponible pour automatiser le processus. Mais selon l’auteur du site de démonstration susmentionné, ce n’est pas suffisant pour protéger les utilisateurs : il faut aussi éliminer Dell Foundation Services, à défaut d’autres solutions pour le moment.

Crédit photo : Vukovic Nemanja – Shutterstock.com


Lire la biographie de l´auteur  Masquer la biographie de l´auteur