Pour gérer vos consentements :

Pas de Superfish pour Dell, juste un certificat douteux

L’affaire a débuté en grande partie sur Reddit. Un utilisateur a découvert un certificat eDellRoot sur son ultraportable Dell XPS 15. À quoi sert-il ? Doit-on y voir un remake du scandale Superfish à la sauce Dell ? Rumeurs et supputations ont été nombreuses suite à cette découverte.

Une chose est certaine, ce certificat pose un problème de sécurité, car il permet de signer des certificats serveur, à volonté, voire du code. Des pirates pourraient ainsi l’employer pour signer frauduleusement des sites et applications. Une faille de sécurité de taille, touchant visiblement un grand nombre de machines, desktops comme mobiles.

Une enquête rondement menée

Dell a rapidement pris les choses en main, et mené l’enquête au sein de ses services. Le coupable est l’offre Dell Foundation Services, qui met en place ce certificat à destination des outils de support proposés sur les ordinateurs du constructeur. Ce certificat pose effectivement un sérieux problème de sécurité, reconnaît Dell.

« Ce certificat n’est pas un logiciel malveillant ou un adware. Il a été conçu pour fournir la signature du système au support en ligne de Dell, afin de nous permettre d’identifier rapidement le modèle de l’ordinateur. Ce certificat n’est pas utilisé pour recueillir des données personnelles », explique Laura P. Thomas, la responsable du blogue officiel du constructeur. Pas de nouveau scandale Superfish donc, mais une classique faille liée à une erreur de conception logicielle.

eDellRoot sera rapidement supprimé

Deux méthodes sont proposées pour retirer ce certificat. La première consiste tout simplement à mettre à jour les Dell Foundation Services, dont la nouvelle version vérifiera si ce certificat est installé, et le retirera.

Il est possible également d’effectuer cette opération manuellement via un guide fourni par Dell, que vous pourrez retrouver à cette adresse. Bien entendu, le certificat sera retiré de toutes les machines à venir. « Il est également important de noter que le certificat ne sera pas réinstallé une fois qu’il sera correctement éliminé en utilisant le processus recommandé par Dell », ajoute Laura P. Thomas.

Dell est sera exemplaire

Beau joueur, Dell remercie toutes les personnes ayant alerté la communauté sur ce problème, et signale qu’une page de son site indique comment signaler un problème de sécurité détecté dans les produits Dell (via un e-mail que l’utilisateur pourra au besoin chiffrer avec PGP). Cette page est accessible ici.

La firme se veut donc irréprochable dans ce domaine. Ou tout du moins le sera. L’un des découvreurs de cette faille, Hanno Böck, précise ainsi que ce problème lui a été signalé il y a plus de deux semaines par Kristof Mattei. Ils se sont alors rapprochés de Dell, qui n’a pas donné réponse… jusqu’à aujourd’hui.

Laura P. Thomas a présenté des excuses pour ce manque de réactivité du constructeur… directement sur le blog de Hanno Böck, ce qui est plutôt inédit pour une société d’une telle taille. Nous pouvons sans peine prédire un avis de tempête pour les services de support du constructeur texan.

À lire aussi :
Dell livre des stations de travail mobiles Xeon
Avec le XPS 12, Dell part à l’assaut de l’iPad Pro et de la Surface Pro 4
Un Chromebook Pro chez Dell se pose en alternative aux clients légers

Recent Posts

La Fondation Linux a fait son choix pour remplacer Redis

La Fondation Linux apporte son soutien à Valkey, un fork de Redis qui vient d'émerger…

2 heures ago

Quels sentiments animent la communauté OpenAI ?

Le contenu du forum officiel de la communauté OpenAI donne des indications sur les points…

2 heures ago

Emmanuelle Olivié-Paul — AdVaes : « Le premier enjeu du scope 3 c’est d’avoir les données pour faire une évaluation »

Dans une interview accordée à Silicon, Emmanuelle Olivié-Paul, présidente-fondatrice du cabinet de market intelligence AdVaes,…

3 heures ago

Étude Trends of IT 2024 : comprendre les mutations de l’environnement IT

Silicon et KPMG lancent Trends of IT 2024, une étude co-construite avec les managers IT…

20 heures ago

Guillaume Poupard, DGA de Docaposte : « Le plus de l’offre, c’est notre position comme acteur de confiance »

Avec son Pack cybersécurité lancé au Forum InCyber 2024, Docaposte tend une perche aux PME.…

20 heures ago

Quels impacts de l’IA générative sur le monde de la cybersécurité ? : regards croisés entre Onepoint, Wavestone et Fortinet

Quels sont les impacts immédiats de l'IA générative sur la cybersécurité ? Comment le contexte…

24 heures ago