Dell a livré par erreur, un certificat comportant une faille de sécurité

Le constructeur de PC Dell aurait livré des PC intégrant un certificat qui comporterait une faille de sécurité. Le groupe a reconnu ce lundi que certains des PC portables livrés aux clients contiennent une faille de sécurité qui pourrait permettra à une personne malveillante d’accéder à des données confidentielles, même si ces dernières sont chiffrées. L’alerte a été lancée sur le site de Reddit par un internaute.

Ce dernier soulève un problème au sein du Laptop XPS 15 du groupe Dell. Il était en train d’effectuer la maintenance de son ordinateur portable lorsqu’il s’est aperçu qu’un certificat racine appelé eDellRoot était présent. Ce certificat est présent sur tous les PC et il est normalement considéré comme non vulnérable. Ce certificat est auto-signé par Dell et sa clé privée permet de signer d’autres certificats par le biais de leur clé publique. Mais l’internaute s’est rendu compte que d’autres ordinateurs Dell avaient été livrés avec le même certificat et donc la même clé privée. De ce fait, les données pourraient être dérobées par des tiers.

dellXPS15_600px

En créant une copie du certificat eDellRoot, il est donc possible de l’utiliser pour signer un malware et donc infecter un terminal puis en extraire les données, y compris celles qui sont chiffrées. Le groupe Dell a déclaré que la présence de ce certificat a été installé pour simplifier et accélérer les opérations de maintenance par les utilisateurs. Le groupe indique que les clients qui ont appliqué une image standard à un nouvel ordinateur ne sont pas concernés mais que les autres ont intérêt à supprimer ce certificat. Dell commence à diffuser une mise à jour pour corriger cette faille.

Rappelons que dans un premier temps, Dell a ignoré le problème puis a reconnu par la suite qu’il y avait un problème et qu’un correctif serait proposé dans les plus brefs délais. Un correctif doit être diffusé ce mercredi 24 novembre par le groupe Dell, permettant de supprimer définitivement  le certificat eDellRoot. Les personnes qui ne souhaitent pas attendre le patch proposé par Dell peuvent supprimer le certificat en 18 étapes. Dell a publié un guide sur son site pour y parvenir avec un outil permettant de savoir si le certificat en question est présent sur votre PC.

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here