Dell reconnait l’existence d’une faille de sécurité sur ses nouveaux ordinateurs

Après l’avoir nié dans un premier temps, Dell reconnaît l’existence d’une faille de sécurité sur ses nouveaux portables et ordinateurs de bureaux livrés depuis août 2015.

Certificat eDellRoot
Certificat eDellRoot

L’entreprise texane a installé un certificat de sécurité auto signé en tant que certificat racine, eDellRoot, dont le but était de proposer « une expérience de support technique meilleure, plus rapide et plus facile ».

Le certificat permet à Dell de récupérer l’identifiant de l’ordinateur, son « service tag », ce qui lui permet de présenter au client les mises à jour, les pilotes de périphériques et les documents s’y rapportant, ou de diagnostiquer un problème.

Ce certificat inclut malheureusement sa clé privée, ce qui permet à des pirates avec des compétences moyennes, de créer de faux certificats qui seront reconnus comme valides par les ordinateurs affectés.

Ils peuvent alors et se faire passer pour un tiers de confiance (comme Amazon, Google, Microsoft, la BNP, etc.), lors d’une connexion sécurisée HTTPS dans un navigateur Web.

Ce qui serait très facile pour attaquer toute personne cible qui utiliserait par exemple la borne Wi-Fi d’un aéroport, d’un magasin ou d’un McDonald’s, pour se connecter à Internet.

 

 

Il s’agit d’une bourde majeure du troisième fabricant de PC au monde, découverte par un particulier, le programmeur Joe Nord.

Ce qui est d’autant plus ironique, que Dell avait profité de l’installation du logiciel malveillant Superfish sur les ordinateurs Lenovo, pour attirer des clients inquiets. À sa décharge, Dell n’installe ni logiciel publicitaire, ni logiciel malveillant.

Les entreprises qui utilisent leur propre image du système d’exploitation ne sont pas affectées.

Dell travaille sur une solution. Dans l’immédiat, elle retire ce certificat de tous les nouveaux PC.

Les utilisateurs pensant être affectés peuvent utiliser la procédure suivante sous Windows pour supprimer le certificat :

  • Appuyer sur les touches Windows et x, choisir Exécuter, Invite de commandes ou Invite de commandes (Admin).
  • Entrer les trois lettres mmc puis appuyer sur la touche entrée.
  • Le cas échéant, autoriser l’application « Microsoft Management Console » à modifier l’ordinateur.
  • Choisir le menu Fichier, Ajouter/Supprimer un composant logiciel enfichable.
  • Choisir certificats puis ajouter
  • Choisir « Un compte d’ordinateur » puis suivant.
  • Choisir « L’ordinateur local » puis Terminer puis OK.
  • Développer l’arborescence : Certificats (ordinateur local) / Autorités de certification racines de confiance / Certificats
  • Dans la partie droite de la fenêtre, supprimer le certificat eDellRoot s’il est présent.