Sécurité IT – Dell : un certificat vulnérable peut en cacher un autre

eDellRoot n’est plus seul sur les fiches des experts en sécurité informatique.

On a détecté, toujours sur les ordinateurs de Dell, un deuxième certificat électronique mal implémenté. Son nom : DSDTestProvider.

Selon le site spécialisé Laptop Mag, à l’origine de cette découverte, les risques sont les mêmes qu’avec eDellRoot : la clé privée associée au certificat peut être récupérée grâce à divers outils logiciels très largement diffusés sur le Web. Ce qui est problématique à bien des égards.

Ladite clé peut effectivement être utilisée pour « signer » des logiciels malveillants qui apparaîtront alors comme légitimes pour tous les PC Dell livrés avec DSDTestProvider. Même principe avec les sites Web frauduleux, exploités pour voler des données, bancaires notamment.

Comment expliquer qu’une telle clé suffise à valider l’authenticité de tout élément qu’elle signe ? Le certificat dans laquelle elle est intégrée est « autosigné » : Dell se positionne donc comme une autorité de confiance à part entière, sans passer par un intermédiaire de type VeriSign ou SecureNet.

Pour Robert Graham, directeur technique de la firme américain Errata Security, le scénario idéal est tout trouvé : « Si j’étais un hacker, j’irais immédiatement à l’aéroport, à côté du lounge 1re classe, pour espionner les communications de tous les passagers ». Ce qu’il décrit n’est autre qu’une attaque de type « man-in-the-middle » qui peut toucher toutes les machines connectées au même réseau Wi-Fi.

Quelle est l’utilité de DSDTestProvider ? Sa principale fonction est de valider la transmission de données entre l’application Dell System Detect et le site Web d’assistance à distance proposé par le troisième constructeur mondial de PC. Tous ceux qui s’y sont connectés pour utiliser le service « Détecter mon produit » entre le 20 octobre et le 24 novembre 2015 sont concernés.

eDellRoot a presque le même rôle. Il est associé au programme Dell Foundation Services pour valider l’envoi, à l’équipe Support de Dell, du « system service tag », qui permet d’identifier précisément une machine et sa configuration.

Laptop Mag a découvert DSDTestProvider sur un ordinateur portable Dell XPS 13 de dernière génération ; pas sur un modèle datant de 2013. Au-delà des PC portables, d’autres gammes de produits sont sans doute concernées, Dell System Detect étant installé sur plusieurs dizaines de références dans les série Precision ou encore OptiPlex.

Dell diffuse, depuis le 24 novembre, un correctif qui élimine automatiquement les deux certificats incriminés. Le guide de suppression manuelle a été mis à jour, le groupe américain s’étant aperçu que l’une de ses DLL réinstallait les certificats au démarrage.

Crédit photo : photoagent – Shutterstock.com