DSDTestProvider, l'autre certificat auto-signé de Dell

DSDTestProvider, l’autre certificat auto-signé de Dell

Tiens, la sous-préfette

Avatar de l'auteur
Vincent Hermann

Publié dans

Logiciel

26/11/2015 5 minutes
16

DSDTestProvider, l'autre certificat auto-signé de Dell

À peine Dell a-t-il corrigé le problème du certificat auto-signé eDellRoot qu’un autre souci du même acabit fait son apparition. Un deuxième certificat auto-signé, nommé cette fois DSDTestProvider, a été détecté. Le constructeur n’a pas encore réagi, mais le certificat peut être retiré manuellement après désinstallation d’un composant livré avec les machines.

Sale temps pour Dell. Le constructeur, après avoir profité de la vague de scandale autour de SuperFish chez Lenovo, a été épinglé pour les mêmes problèmes.  Durant le week-end, des commentaires d’utilisateurs pointaient vers un certificat racine disposant de ses propres clés privées sur une partie des ordinateurs de Dell, notamment les XPS 13, XPS 15 et Inspiron 5000.

Il y a quelques jours...

Le souci de sécurité était exactement le même que pour SuperFish : un certificat racine auto-signé dont les clés pouvaient être volées et détournées de leur utilisation première par des pirates. De là, deux dangers principaux. D’une part, la possibilité de signer un malware avec le même certificat pour que les ordinateurs le reconnaissent comme un logiciel authentique. D’autre part, la capacité de puiser dans les flux chiffrés en espionnant une connexion, notamment sur un réseau ouvert.

Dell n’avait pas tardé à réagir et avait fini par publier non seulement un guide complet de retrait de son certificat, mais également un utilitaire permettant d’automatiser l’opération. Après quoi on était en droit de penser que l’histoire était terminée.

Les certificats de Dell, S1E02

Ce n’est pas le cas puisqu’un deuxième scénario identique a été découvert. Le certificat s’appelle cette fois DSDTestProvider et est lié à un logiciel livré avec certains ordinateurs portables, comme pour eDellRoot. Dell System Detect est un composant que le site de Dell demande d’installer lorsque l’on souhaite se servir du support technique en ligne. Durant l’installation, le logiciel met automatiquement en place le nouveau certificat dans le magasin Windows. L’opération se fait d’elle-même, l’utilisateur ayant donné son accord quand l’installation se lance.

Dell System Detect, une fois en place, sert à récupérer au plus vite les informations de la machine. Le site de Dell sait alors directement à quel modèle précis il a affaire pour proposer les bons services, les pilotes, utilitaires et ainsi de suite. La volonté du constructeur est évidente : simplifier les démarches, diminuer l’attente de l’utilisateur, procurer une expérience aussi lisse que possible et faire éprouver au client un sentiment de prise en main des plus agréable. Le problème est que cette facilité, comme très souvent, se fait au détriment de la sécurité.

Supprimer cet autre dangereux certificat

De fait, on pourrait penser qu’il suffit de désinstaller Dell System Detect pour se débarrasser du problème. Ce n’est pas le cas puisque le certificat est laissé en arrière. Bien entendu, ceux qui n’ont jamais utilisé le site de Dell pour se servir du support automatique n’ont pas ce certificat. Les autres vont devoir plonger dans la console de gestion Windows pour en extirper le petit composant récalcitrant.

Pour ce faire, il suffit d’ouvrir le menu Démarrer et de commencer à écrire « certificats ». Windows devrait vous proposer « Gérer les certificats d’ordinateur », qu’il faudra alors sélectionner et lancer. La console de gestion affichera alors une colonne à gauche, dans laquelle on cliquera sur « Autorités de certification racines de confiance », puis sur « Certificats ». Dans la partie de droite, il faudra alors chercher le fameux « DSDTestProvider » et le supprimer. Attention, cette suppression manuelle doit se faire après la désinstallation de Dell System Detect, sans quoi le logiciel remettra en place automatiquement le certificat à chaque fois. Il faut ensuite faire la même chose dans le dossier « Personnel ».

dell certificats

Toutefois, pour ceux qui préfèrent une procédure entièrement automatisée (avec la confiance que cela implique évidemment), Dell a mis à jour sa page d’information consacrée initialement à eDellRoot pour y aborder le nouveau cas. En plus de fournir quelques informations (notamment sur l’intention derrière cette installation), le constructeur propose un utilitaire capable de supprimer complètement les deux certificats. Étant donné les dangers inhérents à de tels composants, il est recommandé de les supprimer en attendant que Dell propose des solutions moins dangereuses.

Les OEM doivent réfléchir à l'utilisation de leurs certificats

Il existe en tout cas un vrai problème actuellement chez les constructeurs et les latitudes prises sur la sécurité de l’utilisateur. Fournir un certificat racine équipé de ses propres clés privées représente un tel danger que l’on peut se demander si les équipes en charge de tels projets ont réellement conscience de ce qu’elles demandent à l’utilisateur d’installer.

Il serait donc temps qu’une réflexion sérieuse prenne place sur la sécurité, surtout quand on se permet, à l’instar de Dell, de rebondir sur l’actualité d’un concurrent (Lenovo). L’intention première n’est pas en cause, mais on imagine qu’il existe d’autres possibilités pour qu’une machine fournisse son numéro de modèle à un site.

16

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Il y a quelques jours...

Les certificats de Dell, S1E02

Supprimer cet autre dangereux certificat

Les OEM doivent réfléchir à l'utilisation de leurs certificats

Commentaires (16)


<img data-src=" /> pour le sous-titre <img data-src=" />


Wmic bios get serialnumber & voilà tu connais le modèle de la machine…


Merci pour l’info, ça m’évitera de retourner mon laptop :)


Nouveau PC = Formatage. Les partitions à la con et les Mal/Bloat/AdWare des constructeurs c’est la plaie. <img data-src=" />








le-gros-bug a écrit :



Nouveau PC = Formatage. Les partitions à la con et les Mal/Bloat/AdWare des constructeurs c’est la plaie. <img data-src=" />







Pas toujours possible de retrouver le CD d’install propre qui va bien de nos jours avec les nouveaux windows malheureusement. Même plus moyen de trouver une ISO de windows 7 OEM officielle. <img data-src=" />



Ou alors si quelqu’un à un lien de confiance, je suis preneur.



Mais c’est pas possible de laisser la clé privée traîner… Pas besoin d’être expert en sécurité.


Bon je sais que fournir des liens pour télécharger des logiciels propriétaires c’est mal, mais je prend le risque <img data-src=" />



https://www.microsoft.com/fr-fr/software-download/windows7


Dellas. <img data-src=" />


J’ai été dans le cas un de ces jours.

Une ISO/CD version boite (même édition !) suffit et à l’activation, Windows va reconnaitre la clé OEM. Il faut juste avoir le numéro de série …



Et au cas où, tu appelles le service client et t’explique (cf. le technicien du chat Microsoft)







kypd a écrit :



Bon je sais que fournir des liens pour télécharger des logiciels propriétaires c’est mal, mais je prend le risque <img data-src=" />



https://www.microsoft.com/fr-fr/software-download/windows7



Pas valable pour les clés OEM (renvoi vers le constructeur).









kypd a écrit :



Bon je sais que fournir des liens pour télécharger des logiciels propriétaires c’est mal, mais je prend le risque <img data-src=" />



https://www.microsoft.com/fr-fr/software-download/windows7







J’ai déjà essayé ça, il m’a envoyer bouler chez Asus qui doivent me fournir eux même de quoi réinstaller.







Arcy a écrit :



J’ai été dans le cas un de ces jours.

Une ISO/CD version boite (même édition !) suffit et à l’activation, Windows va reconnaitre la clé OEM. Il faut juste avoir le numéro de série …



Et au cas où, tu appelles le service client et t’explique (cf. le technicien du chat Microsoft)

Pas valable pour les clés OEM (renvoi vers le constructeur).







J’ai déjà essayé ça aussi, il y a quelques années quand j’ai acheté le PC, l’activation au téléphone à pas marché. A l’époque on avait encore des liens direct vers des ISO sans avoir à fournir de clé avant.

Evidement je l’ai plus. Je réésayerais avec la boite mais j’y crois moyen.



Merci pour vos réponses en tout cas.



Qui dit windows pré-installé dit certificat dans le BIOS, du coup pour windows 7 il suffit de télécharger le certificat “client” du constructeur du PC ainsi que la clé SLP associée (correspondante à l’édition de windows installée), installer la clé et le certificat et hop on a windows activé.



Je l’ai fait sans problème sur mon portable Dell une fois que j’avais réinstallé sans enter une quelconque clé à l’installation.


Je t’ai envoyé un MP.


Méthode à la validité douteuse puisque seul les OEM ont le droit d’activer windows comme ça (et l’utilisateur final a la condition d’utiliser le gold de l’OEM correspondant) … En toute logique … Et il n’y a pas que les portables de concernés.








le-gros-bug a écrit :



Nouveau PC = Formatage.

Les partitions à la con et les Mal/Bloat/AdWare des constructeurs c’est la plaie.







Je suis d’accord : Nouveau PC = Intallation d’un Linux …

<img data-src=" />



il n’y a pas d’iso OEM. Tu peux récupérer une iso standard sur le net via un lien officiel ou non, vérifier l’authenticité avec un md5, l’installer et rentrer ta clé oem. Je l’ai fait hier aprem.








Gundar a écrit :



J’ai déjà essayé ça, il m’a envoyer bouler chez Asus qui doivent me fournir eux même de quoi réinstaller.







J’ai déjà essayé ça aussi, il y a quelques années quand j’ai acheté le PC, l’activation au téléphone à pas marché. A l’époque on avait encore des liens direct vers des ISO sans avoir à fournir de clé avant.

Evidement je l’ai plus. Je réésayerais avec la boite mais j’y crois moyen.



Merci pour vos réponses en tout cas.





Ce que j’ai fait, c’est de récupérer un iso officiel de l’édition Ultimate, de le retoucher (il y a un fichier à supprimer) et ensuite lors de l’installation tu choisis l’édition que tu souhaites installer.

Par contre, j’avais l’ISO &nbsp;depuis un bon moment, donc ça ne résoud pas ton problème pour l’obtenir…