Tweeter

Une alerte lancée par plusieurs spécialistes de la sécurité informatique : Plusieurs modèles de PC portables commercialisés par Dell connaissent une importante faille de sécurité.

Les machines concernées (Inspiron 5000, XPS 15, et XPS 13) utilisent un certificat de sécurité non sécurisé  (!) préinstallé sur les machines.

Les certificats de sécurité permettent de confirmer qu’un site ou service est bien fiable et est sécurisé ; ils sont notamment utilisés par les sites bancaires, les services e-mail… (1)

Plusieurs modèles de machines Dell utilisent un certificat «autosigné», permettant  de les tromper facilement et donc d’espionner des communications avec des sites qui semblent sécurisés.

Lors des tests effectués, le « mauvais » certificat a permis de tromper les navigateurs Chrome et Microsoft Edge, seul Firefox détectait le problème.

Dell a reconnu l’existence du problème et rendu public des instructions pour désinstaller le certificat de sécurité fautif (fichier Word).

L’entreprise affirme que ce certificat de sécurité n’a pas été utilisé pour collecter des données personnelles sur ses clients – ce qui était le cas dans un précédent scandale similaire qui avait touché le constructeur Lenovo.

Reste une question : à quoi servait ce certificat ?

Selon Dell, il était destiné à son service support pour signer des données de télémétrie, c’est-à-dire des informations relatives à la machine et à son utilisation. Le seul problème, est que cette procédure introduit une énorme faille de sécurité.

En février dernier, Lenovo avait été déjà convaincu de préinstaller  sur certaines machines un faux certificat de sécurité émis par l’entreprise américaine Superfish, dans le but d’injecter des publicités dans les pages web.

Mais ce certificat introduisait une faille de sécurité majeure dans le système et permettait de réaliser des attaques par interception.

Huit mois plus tard Dell vient de réitérer  la manœuvre !

Un certificat auto signé baptisé « eDellRoot ».

Certains utilisateurs de ses PC portables récents ont eu la désagréable surprise de voir, dans le gestionnaire des certificats,  un certificat auto signé baptisé « eDellRoot ».

En analysant de plus près ce fichier, le chercheur en sécurité Kevin Hicks, a découvert que ce certificat de sécurité était assorti de sa clé privée et qu’elle était identique pour chaque PC.

Extraire la clé privée est relativement facile. Une personne malintentionnée pourrait donc, désormais, l’utiliser pour créer des attaques par interception sur tous les PC Dell qui intègrent ce certificat.

Dans un premier temps, Dell a nié tout problème de sécurité relatif à ce certificat.

Dell finit par reconnaître les faits :

 « Nous regrettons profondément ce qui s’est passé et faisons en sorte de résoudre le problème », peut-on lire dans une note de blog officielle postée lundi soir.

Le fabricant a précisé « qu’il allait diffuser un correctif  le 24 novembre, pour supprimer définitivement le certificat ».

En effet, l’effacer directement dans le gestionnaire des certificats ne servirait  à rien car il est réinstallé par un fichier DLL au démarrage suivant de la machine.

Il faut donc supprimer le certificat et le fichier DLL.

Ceux qui ne veulent pas attendre le patch peuvent télécharger un outil de suppression sur le site de Dell.

Il est également possible de tout supprimer à la main.

Le fabricant a été créé un guide en 18 étapes, disponible en ligne.

Sage prudence car des criminels peuvent par exemple utiliser la clé de cryptage pour créer leurs propres certificats de sécurité, ce qui fait que des sites web factices paraissent  bien réels aux utilisateurs d'ordinateurs Dell.

Selon des experts en sécurité, cela ne s'arrêterait pas là.

Dell utiliserait le certificat eDellRoot avec une clé de cryptage identique, non seulement pour ses PC et ordinateurs portables, mais aussi pour d'autres services.

C'est ainsi que le certificat est également intégré au progiciel «Dell Foundation Services » (DFS), qui contient une série d'éléments fondamentaux en vue de faciliter le contact avec les clients.

Les spécialistes de la sécurité indiquent qu'il ne suffit pas de supprimer eDellRoot de Windows, puisque le logiciel se réinstalle ensuite de lui-même.

Selon eux, c'est l'ensemble du plugiciel (plug-in) eDell qui doit être enlevé, ce qui ne peut être réalisé qu'en effaçant complètement le module Dell.Foundation.Agent.Plugins.eDell.dll.

Enfin, Duo Security a découvert un autre problème de sécurité encore sur un ordinateur portable Dell passé au crible :

Le certificat numérique qui était utilisé pour sécuriser le logiciel de gestion de Bluetooth sur l'appareil, pouvait être piraté en moins de six heures.

A suivre…

(1) Rappel : Les certificats servent principalement dans trois types de contextes :

•Le certificat client, stocké sur le poste de travail de l'utilisateur ou embarqué dans un conteneur tel qu'une carte à puce, permet d'identifier un utilisateur et de lui associer des droits.

Dans la plupart des cas il est transmis au serveur lors d'une connexion, qui affecte des droits en fonction de l'accréditation de l'utilisateur. Il s'agit d'une véritable carte d'identité numérique utilisant une paire de clé asymétrique d'une longueur de 512 à 1024 bits.

•Le certificat serveur installé sur un serveur web permet d'assurer le lien entre le service et le propriétaire du service.

Dans le cas d'un site web, il permet de garantir que l'URL et en particulier le domaine de la page web appartiennent bien à telle ou telle entreprise. Par ailleurs il permet de sécuriser les transactions avec les utilisateurs grâce au protocole SSL.

•Le certificat VPN est un type de certificat installé dans les équipements réseaux, permettant de chiffrer les flux de communication de bout en bout entre deux points (par exemple deux sites d'une entreprise).

Dans ce type de scénario, les utilisateurs possèdent un certificat client, les serveurs mettent en oeuvre un certificat serveur et les équipements de communication utilisent un certificat particulier (généralement un certificat IPSec.