Pas de Superfish pour Dell, juste un certificat douteux

PCPolitique de sécuritéPoste de travailSécurité
Dell
6 17 Donnez votre avis

Un certificat présent sur les machines Dell posait un sérieux problème de sécurité. Alerté, Dell à trouvé le coupable, les Dell Foundation Services, et proposé un correctif.

L’affaire a débuté en grande partie sur Reddit. Un utilisateur a découvert un certificat eDellRoot sur son ultraportable Dell XPS 15. À quoi sert-il ? Doit-on y voir un remake du scandale Superfish à la sauce Dell ? Rumeurs et supputations ont été nombreuses suite à cette découverte.

Une chose est certaine, ce certificat pose un problème de sécurité, car il permet de signer des certificats serveur, à volonté, voire du code. Des pirates pourraient ainsi l’employer pour signer frauduleusement des sites et applications. Une faille de sécurité de taille, touchant visiblement un grand nombre de machines, desktops comme mobiles.

Une enquête rondement menée

Dell a rapidement pris les choses en main, et mené l’enquête au sein de ses services. Le coupable est l’offre Dell Foundation Services, qui met en place ce certificat à destination des outils de support proposés sur les ordinateurs du constructeur. Ce certificat pose effectivement un sérieux problème de sécurité, reconnaît Dell.

« Ce certificat n’est pas un logiciel malveillant ou un adware. Il a été conçu pour fournir la signature du système au support en ligne de Dell, afin de nous permettre d’identifier rapidement le modèle de l’ordinateur. Ce certificat n’est pas utilisé pour recueillir des données personnelles », explique Laura P. Thomas, la responsable du blogue officiel du constructeur. Pas de nouveau scandale Superfish donc, mais une classique faille liée à une erreur de conception logicielle.

eDellRoot sera rapidement supprimé

Deux méthodes sont proposées pour retirer ce certificat. La première consiste tout simplement à mettre à jour les Dell Foundation Services, dont la nouvelle version vérifiera si ce certificat est installé, et le retirera.

Il est possible également d’effectuer cette opération manuellement via un guide fourni par Dell, que vous pourrez retrouver à cette adresse. Bien entendu, le certificat sera retiré de toutes les machines à venir. « Il est également important de noter que le certificat ne sera pas réinstallé une fois qu’il sera correctement éliminé en utilisant le processus recommandé par Dell », ajoute Laura P. Thomas.

Dell est sera exemplaire

Beau joueur, Dell remercie toutes les personnes ayant alerté la communauté sur ce problème, et signale qu’une page de son site indique comment signaler un problème de sécurité détecté dans les produits Dell (via un e-mail que l’utilisateur pourra au besoin chiffrer avec PGP). Cette page est accessible ici.

La firme se veut donc irréprochable dans ce domaine. Ou tout du moins le sera. L’un des découvreurs de cette faille, Hanno Böck, précise ainsi que ce problème lui a été signalé il y a plus de deux semaines par Kristof Mattei. Ils se sont alors rapprochés de Dell, qui n’a pas donné réponse… jusqu’à aujourd’hui.

Laura P. Thomas a présenté des excuses pour ce manque de réactivité du constructeur… directement sur le blog de Hanno Böck, ce qui est plutôt inédit pour une société d’une telle taille. Nous pouvons sans peine prédire un avis de tempête pour les services de support du constructeur texan.

À lire aussi :
Dell livre des stations de travail mobiles Xeon
Avec le XPS 12, Dell part à l’assaut de l’iPad Pro et de la Surface Pro 4
Un Chromebook Pro chez Dell se pose en alternative aux clients légers

 


Lire la biographie de l´auteur  Masquer la biographie de l´auteur