À peine Dell a-t-il corrigé le problème du certificat auto-signé eDellRoot qu’un autre souci du même acabit fait son apparition. Un deuxième certificat auto-signé, nommé cette fois DSDTestProvider, a été détecté. Le constructeur n’a pas encore réagi, mais le certificat peut être retiré manuellement après désinstallation d’un composant livré avec les machines.
Sale temps pour Dell. Le constructeur, après avoir profité de la vague de scandale autour de SuperFish chez Lenovo, a été épinglé pour les mêmes problèmes. Durant le week-end, des commentaires d’utilisateurs pointaient vers un certificat racine disposant de ses propres clés privées sur une partie des ordinateurs de Dell, notamment les XPS 13, XPS 15 et Inspiron 5000.
Il y a quelques jours...
Le souci de sécurité était exactement le même que pour SuperFish : un certificat racine auto-signé dont les clés pouvaient être volées et détournées de leur utilisation première par des pirates. De là, deux dangers principaux. D’une part, la possibilité de signer un malware avec le même certificat pour que les ordinateurs le reconnaissent comme un logiciel authentique. D’autre part, la capacité de puiser dans les flux chiffrés en espionnant une connexion, notamment sur un réseau ouvert.
Dell n’avait pas tardé à réagir et avait fini par publier non seulement un guide complet de retrait de son certificat, mais également un utilitaire permettant d’automatiser l’opération. Après quoi on était en droit de penser que l’histoire était terminée.
Les certificats de Dell, S1E02
Ce n’est pas le cas puisqu’un deuxième scénario identique a été découvert. Le certificat s’appelle cette fois DSDTestProvider et est lié à un logiciel livré avec certains ordinateurs portables, comme pour eDellRoot. Dell System Detect est un composant que le site de Dell demande d’installer lorsque l’on souhaite se servir du support technique en ligne. Durant l’installation, le logiciel met automatiquement en place le nouveau certificat dans le magasin Windows. L’opération se fait d’elle-même, l’utilisateur ayant donné son accord quand l’installation se lance.
Dell System Detect, une fois en place, sert à récupérer au plus vite les informations de la machine. Le site de Dell sait alors directement à quel modèle précis il a affaire pour proposer les bons services, les pilotes, utilitaires et ainsi de suite. La volonté du constructeur est évidente : simplifier les démarches, diminuer l’attente de l’utilisateur, procurer une expérience aussi lisse que possible et faire éprouver au client un sentiment de prise en main des plus agréable. Le problème est que cette facilité, comme très souvent, se fait au détriment de la sécurité.
Supprimer cet autre dangereux certificat
De fait, on pourrait penser qu’il suffit de désinstaller Dell System Detect pour se débarrasser du problème. Ce n’est pas le cas puisque le certificat est laissé en arrière. Bien entendu, ceux qui n’ont jamais utilisé le site de Dell pour se servir du support automatique n’ont pas ce certificat. Les autres vont devoir plonger dans la console de gestion Windows pour en extirper le petit composant récalcitrant.
Pour ce faire, il suffit d’ouvrir le menu Démarrer et de commencer à écrire « certificats ». Windows devrait vous proposer « Gérer les certificats d’ordinateur », qu’il faudra alors sélectionner et lancer. La console de gestion affichera alors une colonne à gauche, dans laquelle on cliquera sur « Autorités de certification racines de confiance », puis sur « Certificats ». Dans la partie de droite, il faudra alors chercher le fameux « DSDTestProvider » et le supprimer. Attention, cette suppression manuelle doit se faire après la désinstallation de Dell System Detect, sans quoi le logiciel remettra en place automatiquement le certificat à chaque fois. Il faut ensuite faire la même chose dans le dossier « Personnel ».
Toutefois, pour ceux qui préfèrent une procédure entièrement automatisée (avec la confiance que cela implique évidemment), Dell a mis à jour sa page d’information consacrée initialement à eDellRoot pour y aborder le nouveau cas. En plus de fournir quelques informations (notamment sur l’intention derrière cette installation), le constructeur propose un utilitaire capable de supprimer complètement les deux certificats. Étant donné les dangers inhérents à de tels composants, il est recommandé de les supprimer en attendant que Dell propose des solutions moins dangereuses.
Les OEM doivent réfléchir à l'utilisation de leurs certificats
Il existe en tout cas un vrai problème actuellement chez les constructeurs et les latitudes prises sur la sécurité de l’utilisateur. Fournir un certificat racine équipé de ses propres clés privées représente un tel danger que l’on peut se demander si les équipes en charge de tels projets ont réellement conscience de ce qu’elles demandent à l’utilisateur d’installer.
Il serait donc temps qu’une réflexion sérieuse prenne place sur la sécurité, surtout quand on se permet, à l’instar de Dell, de rebondir sur l’actualité d’un concurrent (Lenovo). L’intention première n’est pas en cause, mais on imagine qu’il existe d’autres possibilités pour qu’une machine fournisse son numéro de modèle à un site.
