HP révoque un certificat utilisé par accident pour signer un malware

HP révoque un certificat utilisé par accident pour signer un malware

Oups

Avatar de l'auteur
Vincent Hermann

Publié dans

Logiciel

13/10/2014 3 minutes
14

HP révoque un certificat utilisé par accident pour signer un malware

HP avertit actuellement certains de ses clients au sujet d’un problème de sécurité lié à un certificat. Ce dernier a été utilisé par erreur pour signer un malware, obligeant le constructeur à le révoquer. Explications.

Un malware signé par erreur

Un très grand nombre d’entreprises utilisent des certificats pour signer numériquement leurs produits et attester qu’ils proviennent bien d’une source fiable. Parfois, la chaine de confiance sur laquelle est bâti tout le système est brisée, forçant des sociétés à révoquer les certificats puisqu’ils ne peuvent plus rien garantir. Mais il peut arriver également qu’un certificat authentique soit utilisé pour signer le code d’un logiciel malveillant.

 

C’est précisément ce qui est arrivé à HP. Le problème, révélé par Brian Krebs récemment,  tient presque d’une situation cocasse. À l’origine, il provient d’une machine infecté par un malware. Le développeur,  qui n’avait pas conscience de cette intrusion, procédait à ses travaux habituels. Le malware s’est alors retrouvé pris dans le flux, notamment la mise en place d’un pack regroupant certains outils. On connait la suite : le pack a été intégralement signé, fournissant au malware un certificat tout ce qu’il y a de plus authentique.

Le malware n'a pas été diffusé, mais les utilisateurs seront gênés 

Il n’y a dans la pratique pas de danger immédiat. Comme HP l’a confirmé à Krebs, ce pack d’outils n’a en fait jamais été distribué aux utilisateurs après sa construction en 2010. HP n’a donc pas été vecteur de cette menace. Cependant, distribué ou pas, ce malware a quand même été signé et la firme a choisi de révoquer le certificat, par sécurité.

 

De fait, s’il n’y a pas de danger, il y aura quand même une gêne pour les utilisateurs concernés. Les pilotes et logiciels signés avec ce certificat vont provoquer en effet des avertissements. HP informe donc par exemple que réinstaller des pilotes provenant du support fourni avec un ordinateur peut afficher sous Windows des alertes sur l’incapacité du système à vérifier que le code est bien ce qu’il affirme.

 

La révocation du certificat se fera le 21 octobre, soit la semaine prochaine. HP a indiqué que des contacts étaient pris avec les clients concernés, afin de les avertir de l’éventuelle gêne occasionnée. Notez que le constructeur devra publier à nouveau les pilotes et logiciels touchés avec un nouveau certificat. Krebs souligne cependant une grande inconnue : les machines professionnelles équipées de partitions de restauration, car personne ne semble capable de dire actuellement comme cette fonctionnalité réagira en l’absence d’un certificat valide.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Un malware signé par erreur

Le malware n'a pas été diffusé, mais les utilisateurs seront gênés 

next n'a pas de brief le week-end

Le Brief ne travaille pas le week-end.
C'est dur, mais c'est comme ça.
Allez donc dans une forêt lointaine,
Éloignez-vous de ce clavier pour une fois !

Fermer

Commentaires (14)


john san Abonné
Le 13/10/2014 à 16h 45

Ouais… Oups. Pour ça qu’il scinde le business? Pour essayer d’en sauver une partie avant la myriade de plaintes qui vont leur tomber sur la tête et les ruiner?


viruseb
Le 13/10/2014 à 16h 49

Ce que je ne comprend pas c’est qu’est qui empêche un créateur de malware d’aller acheter un certificat de signature de code chez big daddy, comodo ou verisign pour signer ses propres créations ?



Mise à part les drivers WHQL qui nécessite un audit de code et moult tests, on peut signer assez simplement ses exécutables.



Ou alors je rate quelque chose.


Bejarid
Le 13/10/2014 à 16h 54







viruseb a écrit :



Ce que je ne comprend pas c’est qu’est qui empêche un créateur de malware d’aller acheter un certificat de signature de code chez big daddy, comodo ou verisign pour signer ses propres créations ?



Mise à part les drivers WHQL qui nécessite un audit de code et moult tests, on peut signer assez simplement ses exécutables.



Ou alors je rate quelque chose.





Car les verisign et cie demande des infos avant de filer un certificat, et normalement ils doivent vérifier ces infos.



C’est donc une prise de risque que d’obtenir un certificat, car ça laisse des indices quand bien même tu aurais fourni de fausses infos. Et surtout ton certificat n’aura jamais le nom de “HP” ou autre société connu (entre autre car ces noms ont déjà leur certificat racine).



Mais rien n’empêche un virus d’être signé, et certains le sont. C’est juste rarement indispensable, donc leurs auteurs s’en passent.



arno53
Le 13/10/2014 à 16h 57







viruseb a écrit :



Ce que je ne comprend pas c’est qu’est qui empêche un créateur de malware d’aller acheter un certificat de signature de code chez big daddy, comodo ou verisign pour signer ses propres créations ?



Mise à part les drivers WHQL qui nécessite un audit de code et moult tests, on peut signer assez simplement ses exécutables.



Ou alors je rate quelque chose.





L’autorité de certification est sensé vérifier ton identité et faire une mini-enquete.. Si un méchant pas beau développer arrive à faire signer son malware et que des plainte ont lieu, il y a de grandes chances que ce dev soit sur liste noire pour une 2ème signature…

Mais dans l’absolu je ne vois pas ce qui l’empêche…



RaoulC
Le 13/10/2014 à 17h 34



ce pack d’outils n’a en fait jamais été distribué aux utilisateurs après sa construction en 2010.



Ya que moi que ca choque, un pack d’outils de 2010 jamais distribué? En 2014?



<img data-src=" />


Bin voilà pris la main dans le sac


Zone démilitarisée Abonné
Le 13/10/2014 à 19h 10







RaoulC a écrit :



Ya que moi que ca choque, un pack d’outils de 2010 jamais distribué? En 2014?



<img data-src=" />



&nbsp;

Peut-être un pack d’outils développé en interne qui n’a plus eu de raison d’exister à un moment donné.



monpci
Le 13/10/2014 à 21h 05

suis-je le seul a penser que l’article fait référence à truecrypt quand je l’image d’illustration


Algent
Le 13/10/2014 à 21h 41

La blague dans l’histoire c’est que la vérification des listes de révocations est pas forcément activé de base suivant votre navigateur.








monpci a écrit :



suis-je le seul a penser que l’article fait référence à truecrypt quand je l’image d’illustration







Le rapport entre HP et Truecrypt ?



_Beryl_
Le 14/10/2014 à 06h 45

Donc le pb a eu lieu il y a 4 ans, et le malware n’aurait jamais été diffusé et HP n’a rien rendu public pendant 4 ans. Pourquoi donc en parler maintenant et gêner les clients en les obligeant à réinstaller leur drivers si le composant incriminé n’a pas été diffusé ? Quelles versions d’OS windows sont concernées ? Tous ceux qui existaient il y a 4 ans ? Le fait d’avoir différé l’annonce est-il en lien avec la diminution du parc windows XP et sa fin de support ?


Winderly Abonné
Le 14/10/2014 à 06h 58







RaoulC a écrit :



Ya que moi que ca choque, un pack d’outils de 2010 jamais distribué? En 2014?



<img data-src=" />





C’est bon signe pour HP non ?

Ils ont de l’argent en excès à balancer par les fenêtres.



V_E_B Abonné
Le 14/10/2014 à 07h 20







_Beryl_ a écrit :



Donc le pb a eu lieu il y a 4 ans, et le malware n’aurait jamais été diffusé et HP n’a rien rendu public pendant 4 ans. Pourquoi donc en parler maintenant et gêner les clients en les obligeant à réinstaller leur drivers si le composant incriminé n’a pas été diffusé ? Quelles versions d’OS windows sont concernées ? Tous ceux qui existaient il y a 4 ans ? Le fait d’avoir différé l’annonce est-il en lien avec la diminution du parc windows XP et sa fin de support ?





Je pense que l’annonce n’a pas été différée. Le problème date de 4 ans, mais sa découverte doit être récente, tout simplement.



ajams
Le 14/10/2014 à 18h 01

Drôle “d’accident” quand même <img data-src=" />