Sécurité

Les ordinateurs portables Dell peuvent avoir un problème de sécurité de la taille de Lenovo Superfish – High-teK.ca

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

de Lenovo Scandale Superfish plus tôt cette année était sans doute la pire faille de sécurité depuis la débâcle du rootkit de Sony il y a dix ans. Plusieurs gammes de produits IdeaPad ont été livrées avec un certificat HTTPS auto-signé qui pourrait être utilisé pour usurper la connexion sécurisée que l’utilisation de HTTPS est censée garantir. En termes simples : les ordinateurs portables avec Superfish installé ne pouvaient pas réellement vérifier si les sites bancaires ou les destinations de commerce électronique auxquels ils se connectaient étaient réellement les sites qu’ils prétendaient être. Il n’y avait pas de moyen simple de supprimer le logiciel et les utilisateurs étaient obligés de franchir plusieurs étapes pour sécuriser à nouveau un système. Maintenant, Dell semble avoir fait quelque chose de similaire, bien que l’enquête soit toujours en cours.

Selon le programmeur Joe Nord, Dell expédie un certificat auto-signé appelé eDellRoot. Il expire en 2039 et est destiné à être utilisé à toutes fins. Une recherche plus approfondie a révélé que l’utilisateur dispose d’une clé privée qui correspond au certificat, comme indiqué ci-dessous :

Ceci est un sérieux problème. Pour que la cryptographie fonctionne, il doit y avoir deux clés : une clé publique et une clé privée. La clé publique est utilisée pour chiffrer les messages transmis au serveur, tandis que la clé privée est utilisée par le serveur pour déchiffrer ces messages. L’ensemble concept de la cryptographie à clé publique repose sur le fait que la clé privée reste privée. Parce qu’il n’est pas pratique sur le plan informatique de dériver la clé privée de l’analyse des clés publiques, les clés publiques peuvent être distribuées partout, tandis que les clés privées utilisées pour déchiffrer les informations restent sous clé.

Psssssst :  Les pirates Black Hat s'introduisent dans n'importe quel iPhone en moins d'une minute, en utilisant un chargeur malveillant

L’expédition d’un ordinateur avec une clé privée déjà installée signifie que la clé peut être extraite et utilisée pour signer des sites Web frauduleux. Les ordinateurs Dell sur lesquels le certificat eDellRoot est installé ne reconnaîtront pas que ces sites Web sont frauduleux, car la clé sur laquelle ils s’appuient pour le faire a indiqué au système qu’ils ne le sont pas.

Ce qui manque à cette image, c’est le sens de Pourquoi la clé eDellRoot est installée sur les ordinateurs portables Dell en premier lieu. Dans le cas de Lenovo, il a compromis la sécurité des utilisateurs et cassé l’ensemble du modèle HTTPS pour expédier un logiciel publicitaire moche qui aurait activé la « recherche visuelle ». Lenovo a affirmé plus tard que les revenus qu’il tirait de Super poisson était minuscule, ce qui avait du sens, mais n’expliquait pas pourquoi l’entreprise avait brisé la sécurité HTTPS afin de gagner un peu d’argent.

Le certificat eDellRoot de Dell ne semble pas lié à un service ou à une capacité spécifique. Ce n’est pas lié aux logiciels malveillants ou aux plaintes des clients comme Superfish l’était, et on ne sait pas combien de systèmes ont été livrés avec le certificat installé. Jusqu’à présent, nous avons vu des rapports indiquant qu’au moins certains modèles Inspiron 5000 sont concernés. Ceux-ci sont Windows 10 machines expédiées neuf mois après Superfish.

Le monde des systèmes OEM est impitoyable, avec des marges minces et un positionnement de produit agressif, mais ce n’est pas exactement une fonctionnalité que quelqu’un a demandé à Dell de copier de Lenovo. L’ampleur du problème n’est pas encore claire, mais les tests ont montré que les systèmes avec le certificat eDellRoot installé établiront des connexions vers des sites clairement frauduleux.

Psssssst :  La NSA et le GCHQ ont cassé le cryptage Internet et créé des portes dérobées que n'importe qui pourrait utiliser

Vous vous demandez si votre propre machine Dell a ce problème ? Ce site d’essai est conçu pour tester si eDellRoot est installé sur votre système – si votre Dell se connecte au lien sans erreur lors de l’utilisation d’IE ou de Chrome, vous avez un problème eDellRoot. Selon Ars Technica, Firefox signale toujours que le site a des problèmes de certificat. Les chercheurs ont également apparemment dit à Ars que ce certificat peut être utilisé pour signer des applications, en contournant les contrôles de logiciels malveillants.

Nous avons contacté Dell, qui a fourni la déclaration suivante :

La sécurité et la confidentialité des clients sont une préoccupation majeure pour Dell. Nous avons une politique stricte consistant à minimiser le nombre d’applications préchargées et à évaluer toutes les applications pour leur sécurité et leur convivialité. Dell dispose d’une vaste pratique de sécurité des utilisateurs finaux qui développe des capacités et des meilleures pratiques pour mieux protéger nos clients. Nous avons une équipe qui enquête sur la situation actuelle et vous tiendrons au courant dès que nous aurons plus d’informations.

Nous vous tiendrons au courant dès que nous aurons plus d’informations.

Bouton retour en haut de la page