HP avertit actuellement certains de ses clients au sujet d’un problème de sécurité lié à un certificat. Ce dernier a été utilisé par erreur pour signer un malware, obligeant le constructeur à le révoquer. Explications.
Un malware signé par erreur
Un très grand nombre d’entreprises utilisent des certificats pour signer numériquement leurs produits et attester qu’ils proviennent bien d’une source fiable. Parfois, la chaine de confiance sur laquelle est bâti tout le système est brisée, forçant des sociétés à révoquer les certificats puisqu’ils ne peuvent plus rien garantir. Mais il peut arriver également qu’un certificat authentique soit utilisé pour signer le code d’un logiciel malveillant.
C’est précisément ce qui est arrivé à HP. Le problème, révélé par Brian Krebs récemment, tient presque d’une situation cocasse. À l’origine, il provient d’une machine infecté par un malware. Le développeur, qui n’avait pas conscience de cette intrusion, procédait à ses travaux habituels. Le malware s’est alors retrouvé pris dans le flux, notamment la mise en place d’un pack regroupant certains outils. On connait la suite : le pack a été intégralement signé, fournissant au malware un certificat tout ce qu’il y a de plus authentique.
Le malware n'a pas été diffusé, mais les utilisateurs seront gênés
Il n’y a dans la pratique pas de danger immédiat. Comme HP l’a confirmé à Krebs, ce pack d’outils n’a en fait jamais été distribué aux utilisateurs après sa construction en 2010. HP n’a donc pas été vecteur de cette menace. Cependant, distribué ou pas, ce malware a quand même été signé et la firme a choisi de révoquer le certificat, par sécurité.
De fait, s’il n’y a pas de danger, il y aura quand même une gêne pour les utilisateurs concernés. Les pilotes et logiciels signés avec ce certificat vont provoquer en effet des avertissements. HP informe donc par exemple que réinstaller des pilotes provenant du support fourni avec un ordinateur peut afficher sous Windows des alertes sur l’incapacité du système à vérifier que le code est bien ce qu’il affirme.
La révocation du certificat se fera le 21 octobre, soit la semaine prochaine. HP a indiqué que des contacts étaient pris avec les clients concernés, afin de les avertir de l’éventuelle gêne occasionnée. Notez que le constructeur devra publier à nouveau les pilotes et logiciels touchés avec un nouveau certificat. Krebs souligne cependant une grande inconnue : les machines professionnelles équipées de partitions de restauration, car personne ne semble capable de dire actuellement comme cette fonctionnalité réagira en l’absence d’un certificat valide.
