Sécurité IT : Dell livre un certificat avec une faille

Dell est dans une situation délicate depuis ce lundi.

Le troisième constructeur mondial de PC a dû reconnaître l’existence, sur certains de ses ordinateurs portables, d’une faille de sécurité qui peut entraîner des accès indésirables aux données échangées par les utilisateurs… y compris quand elles sont chiffrées.

Difficile de noyer le poisson après l’alerte lancée sur reddit par un internaute enregistré sous le pseudo « RotorCowboy ».

L’intéressé, propriétaire d’un XPS 15, se livrait à une opération de maintenance lorsqu’il a découvert un certificat racine baptisé eDellRoot.

On trouve ce type de certificat « root » sur l’ensemble des PC. De nombreux logiciels les classent comme étant de confiance. Notamment les navigateurs Web, pour vérifier les identités lors d’une connexion sécurisée par TLS/SSL.

eDellRoot n’est pas émis par une autorité de certification comme GeoTrust, SecureNet, Thawte ou VeriSign. Il est autosigné par Dell. La clé privée qui lui est associée permet de signer un certain nombre d’autres certificats via leurs clés publiques.

Problème : en échangeant avec d’autres utilisateurs, « RotorCowboy » s’est aperçu que plusieurs ordinateurs portables du constructeur avaient été distribués avec exactement le même certificat, la même clé privée… et que ces données pouvaient être récupérées par des tiers via des outils comme Jailbreak de NCC Group.

Bilan : quiconque parvient à créer une copie d’eDellRoot peut l’utiliser pour signer un logiciel malveillant. Ou encore l’associer à un site Web frauduleux lui permettant de déchiffrer l’ensemble du trafic (attaque de type « man-in-the-middle »), sans que l’utilisateur soit averti d’une éventuelle connexion dangereuse.

Selon l’expert en sécurité Mikko Hypponen, directeur de la recherche chez F-Secure, Dell a commence à implémenter ce certificat au mois d’août 2015. Soit six mois environ après l’éclatement du scandale Superfish.

Dans cette affaire, Lenovo était en première ligne. L’industriel chinois avait été pointé du doigt après la découverte, sur certains de ses PC, d’un logiciel espion destiné à injecter de la publicité dans les navigateurs Internet.

La situation est moins claire avec Dell : on ignore à quoi sert véritablement le certificat incriminé. Et le doute subsiste concernant le nombre d’utilisateurs touchés.

Le groupe américain n’a effectivement pas communiqué de chiffres. Tout au plus s’est-il engagé à adresser un e-mail à ses clients pour leur expliquer comment supprimer eDellRoot, officiellement destiné à « améliorer l’assistance aux utilisateurs ».

Une méthode pour vérifier si l’on est touché : ouvrir une session administrateur et dans le menu Démarrer, exécuter « certmrg.msc ». Aller dans « Autorités de certification racines de confiance », puis « Certificats » et regarder s’il existe une entrée « eDellRoot ».

Crédit photo : Sabphoto – Shutterstock.com