Sécurité

Dell s’excuse pour le scandale de type Superfish et propose des instructions de suppression d’eDellRoot

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Hier, nous avons rendu compte d’un Certificat de type Superfish trouvé sur au moins certains nouveaux ordinateurs portables de Dell. Le certificat, eDellRoot, était auto-signé et pouvait être utilisé dans diverses attaques de type man-in-the-middle. De tels problèmes compromettent fondamentalement la sécurité du système, c’est pourquoi les chercheurs en sécurité ont rapidement tiré la sonnette d’alarme. Une différence entre la débâcle de Lenovo Superfish et la situation de Dell, cependant, est que Dell ne l’a pas livré dans le cadre d’un package de bloatware mal approuvé, mais dans le cadre de ses services Dell Foundation.

Les services Dell Foundation sont un progiciel qui, selon les propres termes de l’entreprise, « facilite les fonctions de service client, de messagerie et d’assistance. Prend en charge Windows 7, Windows 8.1 et Windows 10. » Le billet de blog de la société note que DFS est « destiné à fournir l’étiquette de service du système au support en ligne de Dell, ce qui nous permet d’identifier rapidement le modèle d’ordinateur, ce qui facilite et accélère le service à nos clients. Ce certificat n’est pas utilisé pour collecter des informations personnelles sur les clients. Il est également important de noter que le certificat ne se réinstallera pas une fois correctement supprimé à l’aide du processus Dell recommandé.

Le certificat eDellRoot

Le certificat eDellRoot

Dell a instructions publiées pour savoir comment supprimer le certificat ici et a promis une mise à jour aujourd’hui, cela le supprimera également pour tous les clients qui n’ont pas vu les actualités ou qui n’ont pas été alertés du problème.

Psssssst :  Comment vous protéger contre le piratage de mot de passe GPU - High-teK.ca

Une meilleure réponse mais une situation troublante

Dell mérite d’être félicité pour sa réponse à cette situation bien meilleure que celle proposée par Lenovo plus tôt cette année. Au fur et à mesure que Superfish se déroulait, il est devenu clair que Lenovo était au courant du problème depuis 2014, mais n’avait pas publié de correctif logiciel supprimant le logiciel Superfish. Une fois l’histoire éclatée, l’entreprise initialement minimisé la gravité de l’incident et a publié un correctif logiciel qui n’a rien fait pour fermer la vulnérabilité réelle. Dell, en revanche, a répondu à ce problème dans les 24 heures et a une solution logicielle prête à l’emploi.

Cela dit, il y a toujours un problème ici : Lenovo a toujours affirmé que les revenus générés par l’installation de Superfish étaient minimes et qu’il n’y a aucune raison de croire le contraire. Cela signifie, cependant, que la société a tout simplement négligé de faire preuve de diligence raisonnable sur le logiciel qu’elle livrait sur les systèmes des clients. Les consommateurs peuvent accepter que le bundleware OEM est misérable, mais la plupart des consommateurs supposeraient au moins que leur fournisseur de système a livré un ordinateur sans faille de sécurité fondamentale.

La réponse de Dell a peut-être été meilleure, et ils n’ont pas compromis leurs ordinateurs portables pour quelques centimes par système de revenus, mais la société apparemment n’a pas ont mis en place des pratiques de sécurité robustes qui ont identifié les risques liés à l’envoi d’eDellRoot sous forme de certificat auto-signé. Dans le sillage de Superfish et de son impact sur l’attractivité de Lenovo en tant qu’OEM, quelqu’un chez Round Rock aurait dû y prêter attention, mais apparemment ce n’était pas le cas.

Les dommages causés par ce type de failles de sécurité peuvent être importants. Des chercheurs de Sécurité duo ont signalé qu’au moins un système SCADA (Supervisory Control and Data Acquisition) associé aux installations de traitement de l’eau à KY a été affecté. Ouvrir ce type de failles de sécurité dans une infrastructure critique est la dernière chose qu’une entreprise voudrait faire, mais c’est un risque réel lorsque les entreprises n’effectuent pas de tests de sécurité complets avant d’expédier du matériel.

Psssssst :  Le fabricant de caméras de sécurité Wyze admet une violation de données de 23 jours - High-teK.ca

Dell mérite d’être félicité pour la rapidité de sa réponse, mais il est clair que ce problème concerne l’ensemble de l’industrie. Les fournisseurs ont besoin d’un ensemble robuste de tests et de pratiques de sécurité appliqués à tous les ordinateurs portables, et pas seulement limités aux éditions professionnelles. (Lenovo s’est donné beaucoup de mal pour souligner que seuls ses produits destinés aux consommateurs étaient affectés par Superfish et ses problèmes connexes.) Jusqu’à ce que cela se produise, il sera de plus en plus difficile de croire que les fournisseurs – n’importe quel fournisseur – ont réellement fait leurs devoirs.

Bouton retour en haut de la page