Dell propose désormais un guide complet permettant de retirer son certificat et les autres composants associés sans rien oublier. Pour ceux qui préfèrent une solution plus rapide, le constructeur met à disposition un petit utilitaire qui automatise la procédure. Dell s’excuse pour la gêne occasionnée et indique que son certificat ne sert pas à récupérer des données ou insérer du contenu. Pour rappel, un site permet de tester la présence du certificat sur votre machine.
Dell est sous le coup d’une polémique au sujet d’un certificat livré par défaut avec certains ordinateurs portables. À l’instar de ce qu’avait fait Lenovo, le composant utilise les mêmes clés pour l’ensemble des machines, posant un risque réel de sécurité. Bien que Dell ait déjà réagi, le cas relance une fois encore le débat sur la sécurité des certificats.
Dimanche, le développeur Joe Nord a publié un billet de blog montrant ses découvertes. Client récent d’un Inspiron 5000 de Dell, il a eu la surprise d’apercevoir un certificat root nommé « eDellRoot ». Surpris car ledit certificat dispose des droits maximaux, est décrit comme pouvant être utilisé pour des tâches variées et dispose d’une date de validité particulièrement éloignée : 2039. Mais il a surtout été inquiété de découvrir que le certificat disposait d’une clé privée associée.
Traduction, Dell a fourni un certificat auto-signé pouvant être utilisé pour de multiples opérations, et dont les clés peuvent être volées, même si elles sont déclarées comme non exportables. Peu de temps après, d’autres utilisateurs ont signalé des découvertes similaires sur le XPS 15, The Verge confirmant hier la présence du certificat sur le XPS 13. Des machines plutôt récentes donc, mais rien pour l’instant ne permet d’affirmer que des portables plus anciens ne sont pas également concernés.
Toutes ces machines sont malheureusement livrées avec le même certificat, et donc les mêmes clés. Ce qui signifie que si ces dernières devaient être volées, elles pourraient être exploitées pour créer de nombreuses attaques fonctionnelles sur les portables touchés. Cela peut aller de la signature d’une petite application malveillante dont on pourra ensuite faire la promotion auprès des utilisateurs de Dell ou plus globalement pour signaler un trafic réseau comme légitime et fournir du code malveillant.
Oui les clés peuvent déjà être exploitées
Dans la foulée, les chercheurs de Duo Security ont publié un article indiquant que les clés pouvaient bien être exploitées et qu’ils avaient réussi d’ailleurs à faire quelques tests. Ils ont également indiqué qu’il existait en fait au moins deux certificats, seul le premier disposant de droits root. Pour mieux refléter le danger inhérent à la situation, ils précisent en outre que leurs recherches ont montré qu’un système de type SCADA (infrastructures de contrôle et de gestion des données sur de larges échelles) utilisait ces certificats pour fournir des services via HTTP. Lié aux machines Dell également, un certificat Atheros Authenticode est en outre de la partie, pour la partie Bluetooth.
Pour les chercheurs, un cas typique d’exploitation serait l’analyse des données entrantes et sortantes d’une machine sur un réseau ouvert, à la terrasse d’un café par exemple. Le pirate pourrait se servir des clés pour introduire du code malveillant ou plus simplement pour observer tout le trafic chiffré via TLS et récupérer ainsi des données sensibles telles que les mots de passe et les coordonnées bancaires.
Une situation similaire à SuperFish chez Lenovo
Outre les soucis potentiels de sécurité que cette découverte engendre, il est difficile de ne pas faire un parallèle immédiat avec le cas SuperFish. En février dernier, le constructeur Lenovo avait subi une vraie levée de boucliers à cause d’un logiciel chargé selon ses dires d’injecter du contenu pertinent lors de la navigation, pour effectuer des « recommandations ». Dans la pratique, il s’agissait surtout de publicité. Or, pour suivre les habitudes de l’utilisateur, SuperFish se servait d’un certificat root auto-signé dont les clés pouvaient être détournées selon le même schéma. La portée du problème était d’ailleurs la même puisqu’une grande partie des machines grand public de Lenovo incluait ce certificat.
Duo Security note à ce sujet qu’avec les révélations sur le certificat de Dell, une tendance assez inquiétante apparaît chez les constructeurs. Car si Lenovo et Dell s’autorisent ce genre de pratique, rien ne dit que d’autres OEM n’ont pas la même philosophie. Les chercheurs précisent que l’inclusion de ces certificats est sans doute réalisée dans une optique de simplification des services associés (dans le cas de Dell, a priori pour du support technique). Mais puisqu’ils manipulent des composants particulièrement sensibles, la sécurité devrait en être sérieusement revue.
Supprimer le certificat et le module qui le réinstalle
D’ailleurs, à même situation, même solution. Dell a réagi en indiquant d’une part que le certificat était supprimé de toutes les nouvelles machines et que les clients concernés étaient contactés pour leur proposer une démarche à suivre. L’objectif est bien entendu de supprimer le certificat, en cherchant « certificats » dans Windows et en ouvrant la console à la section « Autorités de certification racines de confiance ».
Duo Security indique qu’il faut également supprimer un fichier nommé « Dell.Foundation.Agent.Plugins.eDell.dll », le module réinstallant sinon le certificat à chaque fois. Notez qu'un autre chercheur en sécurité, Hanno Böck, a mis en ligne une page permettant de tester la présence du certificat.
Il serait temps dans tous les cas que les OEM aient une vraie réflexion à ce sujet et les facilités autour des certificats soient clairement abandonnées. Pour Dell, la situation est d’autant plus ironique que son site officiel réagit au cas SuperFish, en indiquant par exemple en bas de la page consacrée au XPS 15 que la sécurité est prise au sérieux.
