Tout le monde se rappelle de l’épisode Superfish de Lenovo. Dell vient de le reproduire en installant un certificat de sécurité bidon sur certaines de ses machines.
En février dernier, Lenovo avait été épinglé pour avoir préinstallé Superfish sur certains de ses ordinateurs, surtout pour avoir préinstallé un certificat ouvrant une énorme faille de sécurité favorisant les attaques du type « Man in the middle ». Alors que cette affaire aurait dû servir de leçon à tous les fabricants, Dell vient de le reproduire !
En effet, Dell a fait exactement la même chose en installant certificat autosigné baptisé « eDellRoot », un certificat assorti d’une clé privée identique pour tous les PC. Cette découverte a été faite par le chercheur en sécurité Kevin Hicks.
Alors qu’extraire la clé privée est une chose relativement simple à faire, l’installation de ce certificat est une énorme faille de sécurité qui permet à n’importe quelle personne malintentionnée de créer des attaques du type « Man in the middle » qui cibleraient tous les PC Dell équipés du certificat en question.
Dell reconnait sa faute
Après avoir commencé par nier le moindre problème de sécurité en relation avec ce certificat, Dell a finalement reconnu son erreur : « Nous regrettons profondément ce qui s’est passé et faisons en sorte de résoudre le problème ».
De fait, le fabricant prévoit de déployer un correctif, un patch prévu pour le 24 novembre. Ce correctif doit supprimer définitivement le certificat en question.
Il est bon de signaler que supprimer le certificat manuellement ne sert à rien vu qu’il se réinstalle automatiquement au prochain démarrage par le biais d’un fichier DLL. Ceux qui ne veulent pas attendre le correctif peuvent aussi utiliser l’outil de suppression spécifique proposé sur le site de Dell (https://dellupdater.dell.com/Downloads/APP009/eDellRootCertFix.exe), ou suivre les 18 étapes du guide expliquant comment le désinstaller à la main (https://dellupdater.dell.com/Downloads/APP009/eDellRootCertRemovalInstructions.docx).
Un certificat pour le support
Alors que Lenovo avait installé un certificat bidon dans le but de proposer de la publicité ciblée aux utilisateurs, Dell indique que le certificat installé était destiné à son service support afin de signer des données de télémétrie. Cette utilisation est honorable, pas la manière dont elle a été implémentée en créant une énorme faille de sécurité.