Dell répète l’erreur de Lenovo en créant une énorme faille de sécurité !

Tout le monde se rappelle de l’épisode Superfish de Lenovo. Dell vient de le reproduire en installant un certificat de sécurité bidon sur certaines de ses machines.

En février dernier, Lenovo avait été épinglé pour avoir préinstallé Superfish sur certains de ses ordinateurs, surtout pour avoir préinstallé un certificat ouvrant une énorme faille de sécurité favorisant les attaques du type « Man in the middle ». Alors que cette affaire aurait dû servir de leçon à tous les fabricants, Dell vient de le reproduire !

En effet, Dell a fait exactement la même chose en installant certificat autosigné baptisé « eDellRoot », un certificat  assorti d’une clé privée identique pour tous les PC. Cette découverte a été faite par le chercheur en sécurité Kevin Hicks.

Alors qu’extraire la clé privée est une chose relativement simple à faire, l’installation de ce certificat est une énorme faille de sécurité qui permet à n’importe quelle personne malintentionnée de créer des attaques du type « Man in the middle » qui cibleraient tous les PC Dell équipés du certificat en question.

Dell reconnait sa faute

Après avoir commencé par nier le moindre problème de sécurité en relation avec ce certificat, Dell a finalement reconnu son erreur : « Nous regrettons profondément ce qui s’est passé et faisons en sorte de résoudre le problème ».

De fait, le fabricant prévoit de déployer un correctif, un patch prévu pour le 24 novembre. Ce correctif doit supprimer définitivement le certificat en question.

Il est bon de signaler que supprimer le certificat manuellement ne sert à rien vu qu’il se réinstalle automatiquement au prochain démarrage par le biais d’un fichier DLL.  Ceux qui ne veulent pas attendre le correctif peuvent aussi utiliser l’outil de suppression spécifique proposé sur le site de Dell (https://dellupdater.dell.com/Downloads/APP009/eDellRootCertFix.exe), ou suivre les 18 étapes du guide expliquant comment le désinstaller à la main (https://dellupdater.dell.com/Downloads/APP009/eDellRootCertRemovalInstructions.docx).

Un certificat pour le support

Alors que Lenovo avait installé un certificat bidon dans le but de proposer de la publicité ciblée aux utilisateurs, Dell indique que le certificat installé était destiné à son service support afin de signer des données de télémétrie. Cette utilisation est honorable, pas la manière dont elle a été implémentée en créant une énorme faille de sécurité.

Votes
[Total : 0 votes en moyenne : 0]
PARTAGER
Article précédentAbsent du Galaxy S6, le port microSD serait de retour sur le Galaxy S7
Article suivantHommage à Lucy, l’australopithèque découvert il y a 41 ans

Une fille dans l’informatique était mal vue à l’époque de mes études. C’est pour cette raison que l’on m’a cantonné à des rôles secondaires lors des travaux de groupe, notamment celui de centralisateur des informations. Ce rôle central, au final crucial, m’a plu. C’est comme cela que je suis devenue chef de projet. Plus tard, cette attirance pour l’information m’a poussé à suivre des cours de journalisme.
Comme j’avais la propension de centraliser l’actualité technologique, un ami m’a dit un jour : «Emilie, tu peux le faire ». C’est comme cela que je me suis retrouvée embarquée dans l’aventure de linformatique.org. Vu mon boulot, ce sont surtout les nouvelles technologies qui m’intéressent le plus.

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here