[MàJ] Dell propose un outil pour supprimer le certificat auto-signé de ses machines

[MàJ] Dell propose un outil pour supprimer le certificat auto-signé de ses machines

Un sérieux problème de facilité

Avatar de l'auteur
Vincent Hermann

Publié dans

Logiciel

24/11/2015 5 minutes
57

[MàJ] Dell propose un outil pour supprimer le certificat auto-signé de ses machines

Dell est sous le coup d’une polémique au sujet d’un certificat livré par défaut avec certains ordinateurs portables. À l’instar de ce qu’avait fait Lenovo, le composant utilise les mêmes clés pour l’ensemble des machines, posant un risque réel de sécurité. Bien que Dell ait déjà réagi, le cas relance une fois encore le débat sur la sécurité des certificats.

Dimanche, le développeur Joe Nord a publié un billet de blog montrant ses découvertes. Client récent d’un Inspiron 5000 de Dell, il a eu la surprise d’apercevoir un certificat root nommé « eDellRoot ». Surpris car ledit certificat dispose des droits maximaux, est décrit comme pouvant être utilisé pour des tâches variées et dispose d’une date de validité particulièrement éloignée : 2039. Mais il a surtout été inquiété de découvrir que le certificat disposait d’une clé privée associée.

Traduction, Dell a fourni un certificat auto-signé pouvant être utilisé pour de multiples opérations, et dont les clés peuvent être volées, même si elles sont déclarées comme non exportables. Peu de temps après, d’autres utilisateurs ont signalé des découvertes similaires sur le XPS 15, The Verge confirmant hier la présence du certificat sur le XPS 13. Des machines plutôt récentes donc, mais rien pour l’instant ne permet d’affirmer que des portables plus anciens ne sont pas également concernés.

Toutes ces machines sont malheureusement livrées avec le même certificat, et donc les mêmes clés. Ce qui signifie que si ces dernières devaient être volées, elles pourraient être exploitées pour créer de nombreuses attaques fonctionnelles sur les portables touchés. Cela peut aller de la signature d’une petite application malveillante dont on pourra ensuite faire la promotion auprès des utilisateurs de Dell ou plus globalement pour signaler un trafic réseau comme légitime et fournir du code malveillant.

dell certificat
Crédits : Joe Nord

Oui les clés peuvent déjà être exploitées

Dans la foulée, les chercheurs de Duo Security ont publié un article indiquant que les clés pouvaient bien être exploitées et qu’ils avaient réussi d’ailleurs à faire quelques tests. Ils ont également indiqué qu’il existait en fait au moins deux certificats, seul le premier disposant de droits root. Pour mieux refléter le danger inhérent à la situation, ils précisent en outre que leurs recherches ont montré qu’un système de type SCADA (infrastructures de contrôle et de gestion des données sur de larges échelles) utilisait ces certificats pour fournir des services via HTTP. Lié aux machines Dell également, un certificat Atheros Authenticode est en outre de la partie, pour la partie Bluetooth.

Pour les chercheurs, un cas typique d’exploitation serait l’analyse des données entrantes et sortantes d’une machine sur un réseau ouvert, à la terrasse d’un café par exemple. Le pirate pourrait se servir des clés pour introduire du code malveillant ou plus simplement pour observer tout le trafic chiffré via TLS et récupérer ainsi des données sensibles telles que les mots de passe et les coordonnées bancaires.

Une situation similaire à SuperFish chez Lenovo

Outre les soucis potentiels de sécurité que cette découverte engendre, il est difficile de ne pas faire un parallèle immédiat avec le cas SuperFish. En février dernier, le constructeur Lenovo avait subi une vraie levée de boucliers à cause d’un logiciel chargé selon ses dires d’injecter du contenu pertinent lors de la navigation, pour effectuer des « recommandations ». Dans la pratique, il s’agissait surtout de publicité. Or, pour suivre les habitudes de l’utilisateur, SuperFish se servait d’un certificat root auto-signé dont les clés pouvaient être détournées selon le même schéma. La portée du problème était d’ailleurs la même puisqu’une grande partie des machines grand public de Lenovo incluait ce certificat.

Duo Security note à ce sujet qu’avec les révélations sur le certificat de Dell, une tendance assez inquiétante apparaît chez les constructeurs. Car si Lenovo et Dell s’autorisent ce genre de pratique, rien ne dit que d’autres OEM n’ont pas la même philosophie. Les chercheurs précisent que l’inclusion de ces certificats est sans doute réalisée dans une optique de simplification des services associés (dans le cas de Dell, a priori pour du support technique). Mais puisqu’ils manipulent des composants particulièrement sensibles, la sécurité devrait en être sérieusement revue.

Supprimer le certificat et le module qui le réinstalle

D’ailleurs, à même situation, même solution. Dell a réagi en indiquant d’une part que le certificat était supprimé de toutes les nouvelles machines et que les clients concernés étaient contactés pour leur proposer une démarche à suivre. L’objectif est bien entendu de supprimer le certificat, en cherchant « certificats » dans Windows et en ouvrant la console à la section « Autorités de certification racines de confiance ».

Duo Security indique qu’il faut également supprimer un fichier nommé « Dell.Foundation.Agent.Plugins.eDell.dll », le module réinstallant sinon le certificat à chaque fois. Notez qu'un autre chercheur en sécurité, Hanno Böck, a mis en ligne une page permettant de tester la présence du certificat.

Il serait temps dans tous les cas que les OEM aient une vraie réflexion à ce sujet et les facilités autour des certificats soient clairement abandonnées. Pour Dell, la situation est d’autant plus ironique que son site officiel réagit au cas SuperFish, en indiquant par exemple en bas de la page consacrée au XPS 15 que la sécurité est prise au sérieux.

xps 15 sécurité certificat superfish

57

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Oui les clés peuvent déjà être exploitées

Une situation similaire à SuperFish chez Lenovo

Supprimer le certificat et le module qui le réinstalle

Commentaires (57)


Ca existe des laptops à monter soi-même pièce par pièce, comme les desktops ?


Non, sinon tu peux acheter un Mac, au moins là pas de problème.


J’en rêve. À la Fairphone / Ara project.

 


Non Sinon tu te retrouve avec un laptop qui à triplé en epaisseur. et est très compliqué à monter comparé à un pc fixe.



Mais pour résoudre ce genre de soucis, il suffit d’installer une versions du commerce de Windows pour voir ce certificat disparaître (ou passer sous unix)

Il est pré-installé dans les version de Windows préchargé dans les machines.



Après si tu pensais te dire que monter ton pc portable toi même va t’empêcher d’avoir des failles ca va etre le même soucis que sur pc fixe avec les firmware des disques qui sont piraté par la NSA et je ne sais quoi d’autre ^^ (je sens gros comme une maison que les chipset Intel sont défaillant et permettent des intrusions comme dans un moulin si tu fais parti de la NSA <img data-src=" /> )


Ou pas. Ce souci de certificat peut parfaitement se retrouver chez Apple si ils font la même bétise (parfaitement possible).



L’idéal est de se faire sa propre installation système, quel que soit le portable.


Pour le coup, j’ai un peu de mal à comprendre ce que fait ce “certificat”.



C’est un composant logiciel inclus dans le système Windows de chaque ordinateur qui espionne et ouvre des brèches de sécurité ? Le système Windows permet ce genre de choses par défaut ?


Le plus proche de ce que tu décrit c’est ce que fait clevo (un constructeur taïwanais) ils font des barebone (ils fournissent une carte mère, une carte graphique et un proco, a toi de mettre le reste)



il y a plein de revendeurs dont certains te proposent vraiment de ne rien prendre et de tout assembler.(clevo.fr n’est pas un revendeur officiel)



Après je n’ai aps essayé le matériel donc aucune idée de la qualité réel. MSI fait aussi des machines (pour gamer) sans OS donc pas de problème de certificats.


Ce certificat ne fait rien en soit. Par contre il permet de signer des certificats htts&nbsp; pour des sites. Ce qui veut dire que si on a les clefs de ce certificat on peut se faire passer (au près des utilisateurs de ces ordinateurs) pour google(par exemple) et faire une attaque type Man in the middle ce qui n’est pas possible autrement en https (le principe des certificats est la pour l’empêcher)


C’est quoi le rapport ?


eDellRoot, ce nom ne manque pas d’ajouter un petit côté cocasse à l’affaire. <img data-src=" />









Industriality a écrit :



Non, sinon tu peux acheter un Mac, au moins là pas de problème.





C’est vrai qu’avec OS et Matériel proprio tu es presque certains qu’en cas de problème tu ne le verras pas. <img data-src=" />









Meewan a écrit :



Ce certificat ne fait rien en soit. Par contre il permet de signer des certificats htts&nbsp; pour des sites. Ce qui veut dire que si on a les clefs de ce certificat on peut se faire passer (au près des utilisateurs de ces ordinateurs) pour google(par exemple) et faire une attaque type Man in the middle ce qui n’est pas possible autrement en https (le principe des certificats est la pour l’empêcher)



Pas que des sites malheureusement…&nbsp;vu les droits du certificat, tu peux aussi signer du code. Windows va prendre ça pour une source connue et ne pas prévenir l’utilisateur que le bout de&nbsp;virus téléchargé sur p0rn.com&nbsp;provient d’une source non vérifiée. Le seul rempart sera si le code en&nbsp;question demande les droits admin… mais là l’utilisateur dira oui à l’uac (ou pire, le&nbsp;code pourra bypasser l’uac&nbsp;en utilisant un 0 day)



Bref, avoir laissé la clé privée est très dangereux <img data-src=" />



récup des clés produits, et formatage avec install propre à la main, zou <img data-src=" />




Il serait temps dans tous les cas que les OEM aient une vraie réflexion à

ce sujet et les facilités autour des certificats soient clairement

abandonnées.



Tu m’étonnes. <img data-src=" />



Pour Dell, la situation est d’autant plus ironique que son

site officiel réagit au cas SuperFish, en indiquant par exemple en bas

de la page consacrée au XPS 15&nbsp;que la sécurité est prise au sérieux.



Hôpital, charité…








Vengeful-frog a écrit :



Ca existe des laptops à monter soi-même pièce par pièce, comme les desktops ?





À même temps, ce n’est qu’un probleme logiciel. Suffit de remplacer l’OS fourni par dell par une version non modifiée.



Clévo permet ça. J’ai un 13”, avec un i7, deux ports mPcie, un mSata, un emplacement 2.5 SATA, deux emplacement RAM, le CPU peut être changé, l’écran peut être changé par un 4K, etc… Ceux un peu plus grand sont encore plus modulaires (GPU MXM, ce genre de choses).


On le voit tellement partout que je croyais que c’était aussi Cazeneuve sur la photo d’illustration <img data-src=" />


Ah, toi aussi



Je me sens moins seul d’un coup ! <img data-src=" />


Pour ceux qui ont des PC portables Dell et qui veulent regarder s’ils sont touchés :

Lancer un invite “exécuter” (Windows+R), tapez certmgr.msc

La clé incriminée se trouverait sous “autorirés de certification racines de confiance” -&gt; “certificats”



Rien sur mon Latitude, je pense que ça ne concerne que la branche grand public et non professionnelle.








Industriality a écrit :



Non, sinon tu peux acheter un Mac, au moins là pas de problème.





Le pire, c’est qu’il y en a qui vont le croire.

<img data-src=" />



Heu dans le certificat il n’y a qu’une clé publique.

Alors sauf si on a pu calculer la clé privée associée, on ne va pas pouvoir faire grand chose.

On va forcer le client à chiffrer , mais on sera incapable de déchiffrer sans la clé privée.



Le problème est plus que le PC est grand ouvert pour installer ce que le fabriquant veux.



Alors le cout du pirate qui a la terrasse du café viens snifer le numéro de carte bleu en usurpant le certificat, c’est juste pas possible de la manière dont c’est décrit.



&nbsp;

&nbsp;


On a ça sur les PC Dell qu’on a commandé cette année (et c’est pas un petit nombre).



Après avoir fouillé un peu, le certificat se trouve à cet emplacement du registre :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\98A04E4163357790C4A79E6D713FF0AF51FE6927



Donc c’est tout à fait supprimable rapidement, sans avoir à aller dans le gestionnaire de certificats de chaque poste, avec un .reg et/ou une GPO dans le cas d’un AD.

Et si il y a un fichier à supprimer en plus, ce n’est pas la fin du monde.

&nbsp;

J’ai demandé plus d’infos hier à mon commercial Dell (1. si enlever le certificat pose problème pour des applications légitimes Dell, 2. si ils comptent publier rapidement un moyen recommandé de supprimer ce certificat sur un poste et sur un parc, 3. qui a eu cette idée de merde), sans réponse pour le moment sur aucune de ces trois questions.

NXI m’aura donc informé avant lui.



EDIT :

jimmy_36, la clé privée a déjà été extraite.

Voir le topic sur Reddit.


Merci, je ne savais pas que microsoft utilisait des certificats X.501 pour les sources logiciels…&nbsp; c’est juste abérant.



(enfin en même temps linux ne vérifie rien, certain gestionnaires de paquets demandent des signatures GPG pour installer des paquets mais sinon il n’y a pas de vérification, on fait confiance a l’utilisateur)








jimmy_36 a écrit :



Heu dans le certificat il n’y a qu’une clé publique.

Alors sauf si on a pu calculer la clé privée associée, on ne va pas pouvoir faire grand chose.

On va forcer le client à chiffrer , mais on sera incapable de déchiffrer sans la clé privée.



Le problème est plus que le PC est grand ouvert pour installer ce que le fabriquant veux.



Alors le cout du pirate qui a la terrasse du café viens snifer le numéro de carte bleu en usurpant le certificat, c’est juste pas possible de la manière dont c’est décrit.





Calculer ou voler. Si ils veulent devenir autorité de certification reconnue qu’ils suivent les procédures existantes. Le faire à la hussarde me fait douter qu’il faille leur faire confiance.



J’avais effectivement ce certificat sur mon tout nouveau Dell XPS 15 et le site de test que vous donnez l’a bien repéré (sauf avec Firefox qui lui utilise son propre système \o/)

&nbsp;

Je l’ai supprimé mais par contre, je ne retrouve pas le fichier “Dell.Foundation.Agent.Plugins.eDell.dll”

Vous savez où il se trouve exactement?








Vengeful-frog a écrit :



Ca existe des laptops à monter soi-même pièce par pièce, comme les desktops ?





Sans aller jusque là, des PC sans OS seraient un plus.

Ainsi après l’achat tu installe ton Windows, propre, sans bloatware ni certificat vérolé.

Ou ton ubuntu archlinux si tu es un rebelle.



Sur mon poste, il est (…plus pour longtemps) dans :

C:\Program Files\Dell\Dell Foundation Services


Je met en doute la portée de cette affaire.

Une clé privée ne se calcule pas comme ça, il faut un algorithme vulnérable ou aller pirater les serveurs de Lenovo : et la l’entreprise peut mettre la clé sous la porte.



Un certificat auto-signé qui appartient au contructeur de la machine moi ça me choque pas.

Il faut juste se dire que le constructeur va pouvoir installer ce qu’il veux sur cette machine c’est tout.



Ces histoires de piratage à distance, ça tiens pas debout.

&nbsp;

&nbsp;

&nbsp;


Dans ce cas ça craint effectivement.

&nbsp;








jimmy_36 a écrit :



Je met en doute la portée de cette affaire.

Une clé privée ne se calcule pas comme ça, il faut un algorithme vulnérable ou aller pirater les serveurs de Lenovo : et la l’entreprise peut mettre la clé sous la porte.



Un certificat auto-signé qui appartient au contructeur de la machine moi ça me choque pas.

Il faut juste se dire que le constructeur va pouvoir installer ce qu’il veux sur cette machine c’est tout.



Ces histoires de piratage à distance, ça tiens pas debout.





C’est Dell et non Lenovo, vu que la clé privée est déjà dans la nature (voir plus haut), je te laisse aller leur annoncer qu’ils vont mettre la clé sous la porte.



Bon, je viens de verifier, et on peut aussi le trouver sur des serveurs … genre j’ai un R530 acheté il y a 1 an et le certificat est installé …&nbsp;


En même temps, ils ne mérite pas mieux, mettre la clé publique et la clé privée au même endroit …

&nbsp;

&nbsp;

&nbsp;


Pour les anglophones, Tom Scott avait fait il y a un mois une très très bonne vidéo sur le MITM et les dangers de Superfish… et donc maintenant par extension d’eDellRoot aussi.


Mais heu… sinon une installation de Windows et hop tout disparait.


ah c’est pas lui? <img data-src=" />








Meewan a écrit :



Merci, je ne savais pas que microsoft utilisait des certificats X.501 pour les sources logiciels…&nbsp; c’est juste abérant.



(enfin en même temps linux ne vérifie rien, certain gestionnaires de paquets demandent des signatures GPG pour installer des paquets mais sinon il n’y a pas de vérification, on fait confiance a l’utilisateur)



c’est x509 :) je ne dirais pas que c’est aberrant, loin de là. Ca permet quand même d’éviter pas mal d’ennuis. Le seul problème, c’est quand les constructeurs installent&nbsp;des certificats maison et qu’ils laissent la&nbsp;clé privée dans la nature : là le système&nbsp;peut être utilisé à mauvais escient. C’est pareil&nbsp;pour n’importe quel système de clés (y compris&nbsp;gpg) &nbsp;: si la clé privée est dans la nature ou qu’on arrive&nbsp;à faire intégrer une clé maison dans l’espace de confiance, ben tout s’effondre.&nbsp;

Dell aurait juste dû mettre la partie publique, pas la partie privée. Une erreur de débutant&nbsp;<img data-src=" />



Tu as trouvé la clé sur un pc de gamme pro?

J’ai fait le test avec les postes Dell que j’ai sous la main (multiples références de Latitude) et pas un ne semble affecté.


Oui, au moins des Precision T17xx (tours) et des Latitude E7xxx (laptops).

Tous livrés cette année.


merde la hiérarchie a des E7440 <img data-src=" />


C bon de savoir.

&nbsp;








jb18v a écrit :



récup des clés produits, et formatage avec install propre à la main, zou <img data-src=" />





Vérifie au passage que l’UEFI ne cache pas un exécutable installé au démarrage de la machine.









Gilbert_Gosseyn a écrit :



Ou pas. Ce souci de certificat peut parfaitement se retrouver chez Apple si ils font la même bétise (parfaitement possible).



L’idéal est de se faire sa propre installation système, quel que soit le portable.





Dans le cadre de Lenovo, pendant un temps (juste après le scandale SuperFish) l’installation de certains crapwares se faisait automatiquement par le Bios de la machine. les systèmes réinstallés en étaient donc tout autant victime.



Eh oui ! Fait à la méthode La Rache <img data-src=" />


@domFreedom&nbsp;



<img data-src=" />








Vengeful-frog a écrit :



Ca existe des laptops à monter soi-même pièce par pièce, comme les desktops ?



Il y a des barebones portables, comme Clevo, qui sont plutôt de bonne facture. Les portables LDLC sont basés sur du matériel Clevo d’ailleurs <img data-src=" />









Ruzgfpegk a écrit :



Sur mon poste, il est (…plus pour longtemps) dans :

C:\Program Files\Dell\Dell Foundation Services





Merci!&nbsp;



En tant que pro, je trouve que le mieux étant de se faire sa propre installation…



Une fois ton master fait, ça prend 15minutes à installer sur un nouveau poste. Et tu es sûr de ce qui est installé et configuré.



Mais ça perd la licence OEM.


Il y a des utilitaires permettant de la récupérer. Token d’activation compris.








Fiilou a écrit :



En tant que pro, je trouve que le mieux étant de se faire sa propre installation…



Une fois ton master fait, ça prend 15minutes à installer sur un nouveau poste. Et tu es sûr de ce qui est installé et configuré.



Mais ça perd la licence OEM.





Il me semble qu’il est possible de faire des masters sans licence, et du coup windows essaye de s’activer en utilisant le BIOS. Non ?&nbsp;



Y a pas moyen de virer cette m par GPO ? Car je me vois mal faire la manip à la main sur une cinquantaine de poste…



Faudrait vraiment que les fabricants (HP / Dell, Asus …) arrêtent de faire du logiciel, car ils sont vraiment mauvais…








Vengeful-frog a écrit :



Ca existe des laptops à monter soi-même pièce par pièce, comme les desktops ?







Comme plusieurs on déjà répondu avant moi, oui. Et en précision supplémentaire, j’ajoute que ces vendeurs peuvent proposer le portable sans OS.

Ce qui limite beaucoup plus la quantité de saloperies installées de base.







Ruzgfpegk a écrit :



On a ça sur les PC Dell qu’on a commandé cette année (et c’est pas un petit nombre).







Vous n’avez pas de master Windows dédié à votre entreprise ?









SebGF a écrit :



Vous n’avez pas de master Windows dédié à votre entreprise ?





Comme l’installation Windows “base Dell” semblait saine et avec tous les drivers qu’il fallait, on a fait les images Acronis à partir d’elle.

Il est clair qu’on reverra cette procédure pour les prochaines installations.









Gilbert_Gosseyn a écrit :



Il y a des utilitaires permettant de la récupérer. Token d’activation compris.





Utilisant une clef KMS, je n’ai jamais regardé de ce côté.

C’est bon à savoir quand même :).

&nbsp;



Pour les pilotes DELL, il existe un site DELL Driver CAB qui regroupe tous les drivers par modèle (pour la gamme Pro).


Mon laptop XPS 13, avait bien ce certificat :)








Ruzgfpegk a écrit :



Comme l’installation Windows “base Dell” semblait saine et avec tous les drivers qu’il fallait, on a fait les images Acronis à partir d’elle.

Il est clair qu’on reverra cette procédure pour les prochaines installations.







Je comprends mieux.

Partir d’une image Windows originale de Microsoft me paraît le plus sain pour éviter justement les petites cochonneries des fabricants.