Vulnérabilités installées par Lenovo et Dell

Deux vulnérabilités viennent d’être, à quelques semaines d’intervalle, imputées à deux constructeurs majeurs d’ordinateurs : Lenovo et Dell.
La nouveauté tient au fait que ces vulnérabilités ont été délibérément installées par ces constructeurs, dans les masters Windows fournis préinstallés sur les ordinateurs vendus. Malgré le mea culpa des fautifs, la question de la confiance numérique revient sur le devant de la scène.

Lenovo – superfish

Mis sous pression par les experts en sécurité IT, Lenovo a reconnu avoir préchargé, sur certains de ses PC portables, un logiciel espion baptisé Superfish.

Après avoir tenté de minimiser l’affaire, le constructeur chinois a finalement avoué : il a émis une alerte et proposé la désinstallation de programme développé par la société américaine Superfish. En effet, des utilisateurs de notebooks Lenovo sous Windows se plaignaient de la présence de ce logiciel publicitaire qui surveille le trafic Web et injecte des recommandations produits dans les résultats de recherche.

Superfish agit aussi lorsque les connexions sont chiffrées via le protocole SSL (Secure Sockets Layer).
Comment ? En installant son propre certificat racine dans le gestionnaire de certificats Windows. Il fonctionne alors comme un proxy et implante sa propre signature dans tous les certificats présentés par des sites HTTPS, trompant ainsi les navigateurs Web. Les systèmes sur lesquels l’adware est installé sont donc vulnérables aux attaques de type « Man-in-the-middle » et donc au vol de données personnelles.

Dell

Le problème avec Dell est assez similaire, du moins dans ses conséquences. Ici, point de logiciel espion installé, mais des certificats de sécurité auto-signés par Dell, et préinstallés en standard dans les ordinateurs équipés de Windows.

eDellRoot

Le premier, baptisé eDellRoot – est classé par de nombreux logiciels comme étant « de confiance ». Ce qui lui permet de signer, avec sa clé privée, un certain nombre d’autres certificats via leurs clés publiques. Par exemple dans les navigateurs Web, pour vérifier les identités lors d’une connexion sécurisée (HTTPS) à un domaine. Problème : eDellRoot et sa clé privée peuvent être récupérés par des tiers via des outils largement diffusés, comme Jailbreak de NCC Group. Quiconque parvient à l’extraire et à en créer une copie peut l’utiliser pour signer un logiciel malveillant ou pour l’associer à un site Web frauduleux qui déchiffre l’ensemble des données envoyées par les internautes.

En l’état actuel, Dell a présenté ses excuses et propose des instructions pour supprimer eDellRoot. Un exécutable est également disponible pour automatiser le processus. Ce n’est pas suffisant pour protéger les utilisateurs : il faut aussi éliminer Dell Foundation Services, à défaut d’autres solutions pour le moment.

DSDTestProvider

Un deuxième certificat vient d’être découvert dans la foulée du premier. Des chercheurs annoncent avoir constaté la présence de DSDTestProvider sur un nouveau portable de la firme. Ce certificat est également auto-signé et contient une clé privée. Une configuration propre à permettre à des intrus d’intercepter des communications chiffrées depuis un PC Dell.

Si le rôle de DSDTestProvider a visiblement un lien avec le site web de support du constructeur, pour le moment, la présence du certificat reste obscure. De son côté, un porte-parole a assuré que Dell a ouvert une enquête pour expliquer la présence de ce nouveau certificat douteux et son rôle. Et proposer un moyen de le supprimer.

Quelles actions mener ?

Pour le déploiement des systèmes Windows sur vos postes de travail et serveurs, il est donc primordial de ne pas laisser les systèmes préinstallés par les constructeurs. Ils sont souvent truffés de logiciels inutiles, voire dangereux.

Les bonnes pratiques dans ce domaine sont connues :

  1. il faut recréer des masters à partir des images de Microsoft,
  2. et les personnaliser avec vos outils (antivirus, gestion de parc et inventaire, bureautique). Il existe de nombreux outils aujourd’hui pour réaliser et déployer ces masters à grande échelle.
  3. Par ailleurs, il est important aussi de protéger vos utilisateurs lorsqu’ils accèdent à Internet, par des mécanismes de filtrage (proxy) avancé, qui contrôle la présence de malwares et qui vérifient la sécurité des flux SSL, en se basant sur leur propre magasin de certificats sûrs.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *