Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

[MàJ] Dell propose un outil pour supprimer le certificat auto-signé de ses machines

Un sérieux problème de facilité
Logiciel 4 min
[MàJ] Dell propose un outil pour supprimer le certificat auto-signé de ses machines
Crédits : ollo/iStock
Mise à jour :

Dell propose désormais un guide complet permettant de retirer son certificat et les autres composants associés sans rien oublier. Pour ceux qui préfèrent une solution plus rapide, le constructeur met à disposition un petit utilitaire qui automatise la procédure. Dell s’excuse pour la gêne occasionnée et indique que son certificat ne sert pas à récupérer des données ou insérer du contenu. Pour rappel, un site permet de tester la présence du certificat sur votre machine.

Dell est sous le coup d’une polémique au sujet d’un certificat livré par défaut avec certains ordinateurs portables. À l’instar de ce qu’avait fait Lenovo, le composant utilise les mêmes clés pour l’ensemble des machines, posant un risque réel de sécurité. Bien que Dell ait déjà réagi, le cas relance une fois encore le débat sur la sécurité des certificats.

Dimanche, le développeur Joe Nord a publié un billet de blog montrant ses découvertes. Client récent d’un Inspiron 5000 de Dell, il a eu la surprise d’apercevoir un certificat root nommé « eDellRoot ». Surpris car ledit certificat dispose des droits maximaux, est décrit comme pouvant être utilisé pour des tâches variées et dispose d’une date de validité particulièrement éloignée : 2039. Mais il a surtout été inquiété de découvrir que le certificat disposait d’une clé privée associée.

Traduction, Dell a fourni un certificat auto-signé pouvant être utilisé pour de multiples opérations, et dont les clés peuvent être volées, même si elles sont déclarées comme non exportables. Peu de temps après, d’autres utilisateurs ont signalé des découvertes similaires sur le XPS 15, The Verge confirmant hier la présence du certificat sur le XPS 13. Des machines plutôt récentes donc, mais rien pour l’instant ne permet d’affirmer que des portables plus anciens ne sont pas également concernés.

Toutes ces machines sont malheureusement livrées avec le même certificat, et donc les mêmes clés. Ce qui signifie que si ces dernières devaient être volées, elles pourraient être exploitées pour créer de nombreuses attaques fonctionnelles sur les portables touchés. Cela peut aller de la signature d’une petite application malveillante dont on pourra ensuite faire la promotion auprès des utilisateurs de Dell ou plus globalement pour signaler un trafic réseau comme légitime et fournir du code malveillant.

dell certificat
Crédits : Joe Nord

Oui les clés peuvent déjà être exploitées

Dans la foulée, les chercheurs de Duo Security ont publié un article indiquant que les clés pouvaient bien être exploitées et qu’ils avaient réussi d’ailleurs à faire quelques tests. Ils ont également indiqué qu’il existait en fait au moins deux certificats, seul le premier disposant de droits root. Pour mieux refléter le danger inhérent à la situation, ils précisent en outre que leurs recherches ont montré qu’un système de type SCADA (infrastructures de contrôle et de gestion des données sur de larges échelles) utilisait ces certificats pour fournir des services via HTTP. Lié aux machines Dell également, un certificat Atheros Authenticode est en outre de la partie, pour la partie Bluetooth.

Pour les chercheurs, un cas typique d’exploitation serait l’analyse des données entrantes et sortantes d’une machine sur un réseau ouvert, à la terrasse d’un café par exemple. Le pirate pourrait se servir des clés pour introduire du code malveillant ou plus simplement pour observer tout le trafic chiffré via TLS et récupérer ainsi des données sensibles telles que les mots de passe et les coordonnées bancaires.

Une situation similaire à SuperFish chez Lenovo

Outre les soucis potentiels de sécurité que cette découverte engendre, il est difficile de ne pas faire un parallèle immédiat avec le cas SuperFish. En février dernier, le constructeur Lenovo avait subi une vraie levée de boucliers à cause d’un logiciel chargé selon ses dires d’injecter du contenu pertinent lors de la navigation, pour effectuer des « recommandations ». Dans la pratique, il s’agissait surtout de publicité. Or, pour suivre les habitudes de l’utilisateur, SuperFish se servait d’un certificat root auto-signé dont les clés pouvaient être détournées selon le même schéma. La portée du problème était d’ailleurs la même puisqu’une grande partie des machines grand public de Lenovo incluait ce certificat.

Duo Security note à ce sujet qu’avec les révélations sur le certificat de Dell, une tendance assez inquiétante apparaît chez les constructeurs. Car si Lenovo et Dell s’autorisent ce genre de pratique, rien ne dit que d’autres OEM n’ont pas la même philosophie. Les chercheurs précisent que l’inclusion de ces certificats est sans doute réalisée dans une optique de simplification des services associés (dans le cas de Dell, a priori pour du support technique). Mais puisqu’ils manipulent des composants particulièrement sensibles, la sécurité devrait en être sérieusement revue.

Supprimer le certificat et le module qui le réinstalle

D’ailleurs, à même situation, même solution. Dell a réagi en indiquant d’une part que le certificat était supprimé de toutes les nouvelles machines et que les clients concernés étaient contactés pour leur proposer une démarche à suivre. L’objectif est bien entendu de supprimer le certificat, en cherchant « certificats » dans Windows et en ouvrant la console à la section « Autorités de certification racines de confiance ».

Duo Security indique qu’il faut également supprimer un fichier nommé « Dell.Foundation.Agent.Plugins.eDell.dll », le module réinstallant sinon le certificat à chaque fois. Notez qu'un autre chercheur en sécurité, Hanno Böck, a mis en ligne une page permettant de tester la présence du certificat.

Il serait temps dans tous les cas que les OEM aient une vraie réflexion à ce sujet et les facilités autour des certificats soient clairement abandonnées. Pour Dell, la situation est d’autant plus ironique que son site officiel réagit au cas SuperFish, en indiquant par exemple en bas de la page consacrée au XPS 15 que la sécurité est prise au sérieux.

xps 15 sécurité certificat superfish

57 commentaires
Avatar de Avisance Abonné
Avatar de AvisanceAvisance- 24/11/15 à 10:52:33

Signaler ce commentaire aux modérateurs :

Ca existe des laptops à monter soi-même pièce par pièce, comme les desktops ?

Avatar de Industriality INpactien
Avatar de IndustrialityIndustriality- 24/11/15 à 10:54:04

Signaler ce commentaire aux modérateurs :

Non, sinon tu peux acheter un Mac, au moins là pas de problème.

Édité par Industriality le 24/11/2015 à 10:54
Avatar de Salamandar Abonné
Avatar de SalamandarSalamandar- 24/11/15 à 10:57:27

Signaler ce commentaire aux modérateurs :

J'en rêve. À la Fairphone / Ara project.
 

Avatar de Keizo Abonné
Avatar de KeizoKeizo- 24/11/15 à 10:57:40

Signaler ce commentaire aux modérateurs :

Non Sinon tu te retrouve avec un laptop qui à triplé en epaisseur. et est très compliqué à monter comparé à un pc fixe.

Mais pour résoudre ce genre de soucis, il suffit d'installer une versions du commerce de Windows pour voir ce certificat disparaître (ou passer sous unix)
Il est pré-installé dans les version de Windows préchargé dans les machines.

Après si tu pensais te dire que monter ton pc portable toi même va t'empêcher d'avoir des failles ca va etre le même soucis que sur pc fixe avec les firmware des disques qui sont piraté par la NSA et je ne sais quoi d'autre ^^ (je sens gros comme une maison que les chipset Intel sont défaillant et permettent des intrusions comme dans un moulin si tu fais parti de la NSA )

Avatar de Gilbert_Gosseyn Abonné
Avatar de Gilbert_GosseynGilbert_Gosseyn- 24/11/15 à 10:59:54

Signaler ce commentaire aux modérateurs :

Ou pas. Ce souci de certificat peut parfaitement se retrouver chez Apple si ils font la même bétise (parfaitement possible).

L'idéal est de se faire sa propre installation système, quel que soit le portable.

Avatar de Aisyk Abonné
Avatar de AisykAisyk- 24/11/15 à 11:00:42

Signaler ce commentaire aux modérateurs :

Pour le coup, j'ai un peu de mal à comprendre ce que fait ce "certificat".

C'est un composant logiciel inclus dans le système Windows de chaque ordinateur qui espionne et ouvre des brèches de sécurité ? Le système Windows permet ce genre de choses par défaut ?

Avatar de Meewan Abonné
Avatar de MeewanMeewan- 24/11/15 à 11:01:59

Signaler ce commentaire aux modérateurs :

Le plus proche de ce que tu décrit c'est ce que fait clevo (un constructeur taïwanais) ils font des barebone (ils fournissent une carte mère, une carte graphique et un proco, a toi de mettre le reste)

il y a plein de revendeurs dont certains te proposent vraiment de ne rien prendre et de tout assembler.(clevo.fr n'est pas un revendeur officiel)

Après je n'ai aps essayé le matériel donc aucune idée de la qualité réel. MSI fait aussi des machines (pour gamer) sans OS donc pas de problème de certificats.

Avatar de Meewan Abonné
Avatar de MeewanMeewan- 24/11/15 à 11:05:26

Signaler ce commentaire aux modérateurs :

Ce certificat ne fait rien en soit. Par contre il permet de signer des certificats htts  pour des sites. Ce qui veut dire que si on a les clefs de ce certificat on peut se faire passer (au près des utilisateurs de ces ordinateurs) pour google(par exemple) et faire une attaque type Man in the middle ce qui n'est pas possible autrement en https (le principe des certificats est la pour l’empêcher)

Avatar de Vengeur_Masqué INpactien
Avatar de Vengeur_MasquéVengeur_Masqué- 24/11/15 à 11:10:20

Signaler ce commentaire aux modérateurs :

Bien sur :http://bons-constructeurs-ordinateurs.info/

Avatar de Vengeur_Masqué INpactien
Avatar de Vengeur_MasquéVengeur_Masqué- 24/11/15 à 11:11:02

Signaler ce commentaire aux modérateurs :

C'est quoi le rapport ?

Il n'est plus possible de commenter cette actualité.
Page 1 / 6