[ad_1]

Fabricant de l’industrie informatique et logicielle CV est en train d’informer les clients d’un incident de sécurité apparemment inoffensif en 2010 qui pourrait néanmoins s’avérer coûteux pour l’entreprise à résoudre et présenter des problèmes de support uniques pour les utilisateurs de ses anciens produits.

ProblèmesPlus tôt cette semaine, HP a produit discrètement plusieurs avis à la clientèle indiquant que le 21 octobre 2014, il prévoyait de révoquer un certificat numérique que la société utilisait auparavant pour signer de manière cryptographique les composants logiciels livrés avec bon nombre de ses anciens produits. HP a déclaré qu’il prenait cette mesure par prudence, car il a découvert que le certificat avait été utilisé par erreur pour signer des logiciels malveillants en mai 2010.

La signature de code est une pratique destinée à donner aux utilisateurs d’ordinateurs et aux administrateurs réseau une confiance supplémentaire quant à l’intégrité et à la sécurité d’un fichier ou d’un programme. Par conséquent, les certificats numériques privés que les principaux éditeurs de logiciels utilisent pour signer le code sont très prisés par les attaquants, car ils leur permettent de mieux déguiser les logiciels malveillants en logiciels légitimes.

Par exemple, le tristement célèbre malware Stuxnet – apparemment créé comme un projet parrainé par l’État pour retarder les ambitions nucléaires de l’Iran – contenait plusieurs composants signés numériquement avec des certificats qui avaient été volés à des sociétés bien connues. Dans les cas précédents où les certificats numériques privés d’une entreprise ont été utilisés pour signer des logiciels malveillants, les incidents ont été précédés d’attaques très ciblées visant à voler les certificats. En février 2013, le fournisseur de logiciels de liste blanche Bit9 a découvert que des certificats numériques volés sur le système d’un développeur avaient été utilisés pour signer des logiciels malveillants envoyés à plusieurs clients qui utilisaient le logiciel de l’entreprise.

Mais selon le Global Chief Information Security Officer de HP Brett Wahlin, rien d’aussi sexy ou dramatique n’a été impliqué dans la décision de HP de révoquer ce certificat particulier. Wahlin a déclaré que HP avait récemment été alerté par Symantec à propos d’un curieux programme cheval de Troie vieux de quatre ans qui semblait avoir été signé avec l’un des certificats privés de HP et trouvé sur un serveur en dehors du réseau de HP. Une enquête plus approfondie a retracé le problème à une infection par un logiciel malveillant sur l’ordinateur d’un développeur HP.

Les enquêteurs de HP pensent que le cheval de Troie sur le PC du développeur s’est renommé pour imiter l’un des noms de fichiers que l’entreprise utilise généralement dans ses tests de logiciels, et que le fichier malveillant a été inclus par inadvertance dans un progiciel qui a ensuite été signé avec le certificat numérique de l’entreprise. La société pense que le logiciel malveillant est sorti du réseau interne de HP car il contenait un mécanisme conçu pour transférer une copie du fichier vers son point d’origine.

Wahlin a souligné que le progiciel en question n’a jamais été inclus dans les logiciels expédiés aux clients ou mis en production. De plus, a-t-il dit, il n’y a aucune preuve que l’un des certificats privés de HP ait été volé.

« Quand les gens entendront cela, beaucoup supposeront automatiquement que nous avons eu une sorte de compromis au sein de notre infrastructure de signature de code, et ce n’est pas le cas », a-t-il déclaré. « Nous pouvons montrer que nous n’avons jamais eu de brèche sur notre [certificate authority] et que notre infrastructure de signature de code est intacte à 100 %. »

Même si les problèmes de sécurité liés à cet incident sont minimes, la révocation de ce certificat est susceptible de créer des problèmes de support pour certains clients. Le certificat en question a expiré il y a plusieurs années et ne peut donc pas être utilisé pour signer numériquement de nouveaux fichiers. Mais selon HP, il a été utilisé pour signer une vaste gamme de logiciels HP – y compris des pilotes matériels et logiciels cruciaux, et d’autres composants qui interagissent de manière fondamentale avec le Microsoft Windows système opérateur.

Ainsi, la révocation du certificat signifie que HP doit signer à nouveau le logiciel déjà utilisé. Wahlin a déclaré que la plupart des clients concernés par ce changement rencontreront simplement des avertissements de Windows s’ils tentent de réinstaller certains pilotes à partir du support d’installation d’origine, par exemple. Mais une clé inconnue à ce stade est de savoir comment cette décision affectera les ordinateurs HP dotés de « partitions de récupération » intégrées – de petites sections au début du disque dur de l’ordinateur qui peuvent être utilisées pour restaurer le système à son état d’origine, livré en usine. paramétrage logiciel.

« La chose intéressante qui apparaît ici – et même Microsoft ne connaît pas la réponse à cela – est ce qui arrive aux systèmes avec la partition de restauration, s’ils doivent être restaurés », a déclaré Wahlin. « Notre groupe PC essaie de créer des solutions pour aider les clients si cela devient réellement un scénario réel, mais en fin de compte, c’est quelque chose que nous ne pouvons pas tester dans un environnement de laboratoire tant que ce certificat n’est pas officiellement révoqué par Verisign le 21 octobre.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *