Il y a plusieurs mois, un logiciel préinstallé sur des PC grand public Lenovo compromettait gravement la sécurité des échanges chiffrés via SSL. Scandale auprès des professionnels de l’informatique. Au tour de Dell d’être dans la tourmente avec un premier certificat compromis, puis un second…
Au mois de février 2015, un logiciel préinstallé sur des PC grand public Lenovo compromettait gravement la sécurité des échanges chiffrés via SSL. Superfish, c’est le nom de ce logiciel installé sur certains portables Lenovo commercialisés entre septembre 2014 et février 2015, surveillait le contenu des pages web visitées pour ensuite ajouter à l’insu de l’internaute sur d’autres pages web de la publicité pour des produits censés l’intéresser. Mais surtout, cet adware signait ses propres certificats de sécurité pour lire les communications, rendant inutile la protection HTTPS. Lenovo a fini par reconnaître à l’époque le potentiel dangereux de cet adware, dont il avait qualifié la sévérité de « haute », dans un bulletin de sécurité mis en ligne. Au tour de Dell cette fois de confirmer sur un de ses blogs, le 23 novembre, qu’un certificat (eDellRoot), installé par l’application Dell Foundation Services sur les PC du fabricant, a introduit « non intentionnellement » une vunérabilité, qui peut être utilisée par des pirates pour conduire des attaques « man-in-the-middle » ou dissimuler des logiciels malveillants.
Dell a mis en ligne les instructions de suppression
Ce certificat, qui expose sa clé privée, n’est pas en lui-même « un malware ou un adware », indique le fabricant, mais sert au service support online de Dell pour identifier rapidement le modèle de l’ordinateur. « Il n’est pas utilisé pour récolter des informations personnelles de l’utilisateur », précise-t-il. « Il est aussi important de noter que le certificat ne se réinstallera pas de lui-même une fois qu’il a été supprimé selon le processus recommandé par Dell ». Et Dell d’indiquer une adresse en ligne où récupérer les instructions de supression, qui s’étalent sur une dizaine de pages (https://dellupdater.dell.com/Downloads/APP009/eDellRootCertificateRemovalInstructions.pdf). Le mardi 24 novembre, Dell a également « poussé » une mise à jour capable de détecter le certificat incriminé et de le supprimer en cas de présence. Précision importante, les entreprises clientes qui ont appliqué une nouvelle image à leurs systèmes sans les Services Dell Foundations ne sont pas concernées.
Dell ne semble pourtant pas au bout de ses peines car après eDellRoot, un autre certificat vulnérable aurait été découvert sur les PC portables Dell (notamment XPS), selon le magazine en ligne LaptopMag. Nommé DSDTestProvider, ce nouveau certificat expire, comme eDellRoot, le 9 novembre 2031. Et semble tout aussi dangereux en conduisant à l’interception de communications chiffrées ou encore la génération de certificats à l’aide de sa clé privée. Pour le moment, Dell n’a pas réagi.
