Dell est dans une situation délicate depuis ce lundi.
Le troisième constructeur mondial de PC a dû reconnaître l’existence, sur certains de ses ordinateurs portables, d’une faille de sécurité qui peut entraîner des accès indésirables aux données échangées par les utilisateurs… y compris quand elles sont chiffrées.
Difficile de noyer le poisson après l’alerte lancée sur reddit par un internaute enregistré sous le pseudo « RotorCowboy ».
L’intéressé, propriétaire d’un XPS 15, se livrait à une opération de maintenance lorsqu’il a découvert un certificat racine baptisé eDellRoot.
On trouve ce type de certificat « root » sur l’ensemble des PC. De nombreux logiciels les classent comme étant de confiance. Notamment les navigateurs Web, pour vérifier les identités lors d’une connexion sécurisée par TLS/SSL.
eDellRoot n’est pas émis par une autorité de certification comme GeoTrust, SecureNet, Thawte ou VeriSign. Il est autosigné par Dell. La clé privée qui lui est associée permet de signer un certain nombre d’autres certificats via leurs clés publiques.
Problème : en échangeant avec d’autres utilisateurs, « RotorCowboy » s’est aperçu que plusieurs ordinateurs portables du constructeur avaient été distribués avec exactement le même certificat, la même clé privée… et que ces données pouvaient être récupérées par des tiers via des outils comme Jailbreak de NCC Group.
Bilan : quiconque parvient à créer une copie d’eDellRoot peut l’utiliser pour signer un logiciel malveillant. Ou encore l’associer à un site Web frauduleux lui permettant de déchiffrer l’ensemble du trafic (attaque de type « man-in-the-middle »), sans que l’utilisateur soit averti d’une éventuelle connexion dangereuse.
Selon l’expert en sécurité Mikko Hypponen, directeur de la recherche chez F-Secure, Dell a commence à implémenter ce certificat au mois d’août 2015. Soit six mois environ après l’éclatement du scandale Superfish.
Dans cette affaire, Lenovo était en première ligne. L’industriel chinois avait été pointé du doigt après la découverte, sur certains de ses PC, d’un logiciel espion destiné à injecter de la publicité dans les navigateurs Internet.
La situation est moins claire avec Dell : on ignore à quoi sert véritablement le certificat incriminé. Et le doute subsiste concernant le nombre d’utilisateurs touchés.
Le groupe américain n’a effectivement pas communiqué de chiffres. Tout au plus s’est-il engagé à adresser un e-mail à ses clients pour leur expliquer comment supprimer eDellRoot, officiellement destiné à « améliorer l’assistance aux utilisateurs ».
Une méthode pour vérifier si l’on est touché : ouvrir une session administrateur et dans le menu Démarrer, exécuter « certmrg.msc ». Aller dans « Autorités de certification racines de confiance », puis « Certificats » et regarder s’il existe une entrée « eDellRoot ».
Crédit photo : Sabphoto – Shutterstock.com
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…