Tous les nouveaux Dell Les ordinateurs portables et de bureau livrés depuis août 2015 contiennent une grave faille de sécurité qui expose les utilisateurs aux écoutes en ligne et aux attaques de logiciels malveillants. Dell dit qu’il prépare un correctif pour le problème, mais les experts disent que la menace devra peut-être finalement être piétinée par les principaux fabricants de navigateurs Web.
Le problème est un certificat racine installé sur les nouveaux ordinateurs Dell qui inclut également la clé cryptographique privée pour ce certificat. Des attaquants astucieux peuvent utiliser cette clé de Dell pour signer de faux certificats de sécurité de navigateur pour n’importe quel site protégé par HTTPS.
Traduction : un pirate informatique malveillant pourrait exploiter cette faille sur des réseaux publics ouverts (comme les points d’accès Wi-Fi, les cafés, les aéroports) pour se faire passer pour n’importe quel site Web par un utilisateur Dell et pour intercepter, lire et modifier discrètement tout le trafic Web d’un système Dell vulnérable. .
Selon Joe Nordle chercheur en sécurité informatique crédité d’avoir découvert le problème, le problème provient d’un certificat installé par Dell nommé « eDellRoot.”
Dell affirme que le certificat eDellRoot a été installé sur tous les nouveaux ordinateurs de bureau et portables expédiés d’août 2015 à nos jours. Selon la société, le certificat visait à faciliter la tâche du support client de Dell pour aider les clients à résoudre les problèmes techniques de leurs ordinateurs.
« Nous avons commencé à charger la version actuelle sur nos appareils grand public et commerciaux en août pour accélérer et faciliter la résolution des problèmes de PC pour les clients », porte-parole de Dell. David Frink mentionné. « Lorsqu’un PC s’engage avec le support en ligne Dell, le certificat fournit l’étiquette de service du système permettant au support en ligne Dell d’identifier immédiatement le modèle de PC, les pilotes, le système d’exploitation, le disque dur, etc., ce qui facilite et accélère la maintenance. »
« Malheureusement, le certificat a introduit une vulnérabilité de sécurité involontaire », a déclaré la société dans un communiqué écrit. « Pour y remédier, nous proposons à nos clients instructions de supprimer définitivement le certificat de leurs systèmes par e-mail direct, sur notre site de support et notre support technique. »
En attendant, Dell annonce qu’il supprime le certificat de tous les systèmes Dell à l’avenir.
« Notez que les clients commerciaux qui imagent leurs propres systèmes ne seront pas affectés par ce problème », a conclu le communiqué de la société. « Dell ne pré-installe aucun adware ou malware. Le certificat ne se réinstallera pas une fois qu’il aura été correctement supprimé à l’aide du processus Dell recommandé.
Le certificat vulnérable de Dell. Image : Joe Nord
On ne sait pas pourquoi personne chez Dell n’a vu cela comme un problème potentiel, d’autant plus que le concurrent de Dell Lenovo a subi un cauchemar de sécurité très similaire plus tôt cette année lorsqu’il a livré un composant de suivi des publicités en ligne appelé Super poisson avec tous les nouveaux ordinateurs.
Les chercheurs ont découvert plus tard que Superfish exposait les utilisateurs à l’interception de leur trafic Web par toute autre personne se trouvant sur le réseau local de cet utilisateur. Lenovo a ensuite publié un correctif et déclaré qu’il n’expédierait plus d’ordinateurs avec le composant vulnérable.
Dell’s Frink a déclaré que la société ne divulguerait pas le nombre d’ordinateurs qu’elle a expédiés dans un état vulnérable. Mais selon l’observateur de l’industrie IDCle troisième fabricant d’ordinateurs expédiera un peu plus de 10 millions d’ordinateurs dans le monde au troisième trimestre 2015.
Zakir Durumérique, un doctorat. étudiant et chargé de recherche en informatique et ingénierie à l’université Université du Michigana aidé à créer un outil sur son site — https://zmap.io/dell — qui devrait indiquer aux utilisateurs de Dell s’ils utilisent un système vulnérable.
Durumer a déclaré que les principaux fabricants de navigateurs corrigeront très probablement cette faille dans les futures mises à jour.
« Je suppose que cela doit être résolu par les fabricants de navigateurs, et que nous semblerons qu’ils bloquent » le certificat eDellRoot. « Mon conseil aux utilisateurs finaux est de s’assurer que leurs navigateurs sont à jour. »
Lecture complémentaire :
Une discussion approfondie de ce problème sur Reddit.
Dan Goodinc’est couverture à Ars Technica.
Mise à jour, 1 h 15 HE : Ajout d’un lien vers les instructions de Dell pour résoudre le problème.