Après Lenovo, maintenant les PC et ordinateurs portables Dell sont expédiés avec un CA racine malveillant

Dell expédie des ordinateurs portables avec un CA racine malveillant, exactement comme ce qui s’est passé avec Lenovo et Superfish

Il semble que le retour des utilisateurs contre le logiciel indésirable Superfish expédié avec les PC et ordinateurs portables Lenovo n’ait pas dissuadé les autres fabricants d’installer un logiciel indésirable similaire préinstallé. Dell est un autre de ces grands fabricants qui se sont révélés expédier des PC et des ordinateurs portables préinstallés avec un tel logiciel indésirable malveillant.

Un utilisateur de Twitter, Joe Nord, a découvert que les PC et ordinateurs portables Dell sont expédiés avec un certificat racine malveillant.

Nouvel ordinateur, “eDellRoot” dans la liste des certificats racine de confiance. Valide jusqu’en 2039. Pas une bonne sensation. pic.twitter.com/HqpatkwrSZ — Joe Nord (@jhnord) 2 novembre 2015

Nord a publié un article sur le web décrivant eDellRoot. Il dit que bien que les actions effectuées par eDellRoot ne soient pas connues pour le moment, elles pourraient être dans la même catégorie que Superfish. Il dit : “le certificat eDellRoot est une racine de confiance qui expire en 2039 et est destiné à tous les usages. Remarquez que cela est plus puissant que le certificat DigiCert clairement légitime juste au-dessus, ce qui suscite plus de curiosité.”

Le problème avec ce CA racine malveillant est qu’il n’est pas connu quelles activités d’espionnage il effectuera, contrairement à Superfish sur Lenovo qui était connu pour injecter des logiciels publicitaires dans les PC et ordinateurs portables Lenovo sans le consentement des utilisateurs.

Nord a étudié plus en détail le certificat et a déclaré que “vous avez une clé privée qui correspond à ce certificat”. Cela devient très suspect ! En tant qu’utilisateur d’ordinateur, je ne devrais JAMAIS avoir une clé privée qui correspond à un CA racine. Seul l’ordinateur émetteur du certificat devrait avoir une clé privée et cet ordinateur devrait être… très bien protégé !”

“C’est la même action qui existait avec Superfish et dans ce cas, Lenovo a pris l’action extrêmement horrible d’utiliser la MÊME clé privée sur chaque ordinateur. Dell a-t-il fait de même ?”

Un autre utilisateur, Rotorcowboy, a fait un fil détaillé sur Reddit concernant le CA racine malveillant. L’intégralité du post est reproduite ci-dessous :

J’ai reçu un nouvel ordinateur portable XPS 15 de Dell, et en essayant de résoudre un problème, j’ai découvert qu’il était préchargé avec un CA racine auto-signé du nom de eDellRoot. Avec cela est venue sa clé privée, marquée comme non exportable. Cependant, il est toujours possible d’obtenir une copie brute de la clé privée en utilisant plusieurs outils disponibles (j’ai utilisé l’outil Jailbreak de NCC Group). Après en avoir brièvement discuté avec quelqu’un d’autre qui l’avait également découvert, nous avons déterminé qu’ils expédient chaque ordinateur portable qu’ils distribuent avec le même certificat racine et la même clé privée, très similaire à ce que Superfish a fait sur les ordinateurs Lenovo. Pour ceux qui ne sont pas familiers, c’est une vulnérabilité de sécurité majeure qui met en danger tous les récents clients de Dell. Sûrement, Dell a dû voir quel genre de mauvaise presse Lenovo a reçu lorsque les gens ont découvert ce que Superfish faisait. Pourtant, ils ont décidé de faire la même chose mais en pire. Ce n’est même pas une application tierce qui l’a placé là ; c’est le propre logiciel indésirable de Dell. Pour ajouter l’insulte à la blessure, il n’est même pas évident quel est le but du certificat. Au moins avec Superfish, nous savions que leur CA racine malveillant était nécessaire pour injecter des publicités dans vos pages web ; la raison pour laquelle celui de Dell est là est floue. Si vous avez récemment acheté un ordinateur Dell et souhaitez voir si vous êtes affecté par cela, allez à Démarrer -> tapez “certmgr.msc” -> (acceptez l’invite UAC) -> Autorités de certification racines de confiance -> Certificats et vérifiez si vous avez une entrée avec le nom “eDellRoot”. Si c’est le cas, félicitations, vous avez été piraté par Dell, la même entreprise pour laquelle vous avez payé votre ordinateur ! Voici un lien vers le certificat, la clé privée et le fichier PFX pour le certificat que j’ai trouvé sur ma machine. Le mot de passe pour le fichier PFX est “dell”. (Le certificat lui-même se trouve dans le fichier eDellRoot.crt. NE pas importer le fichier PFX à moins de savoir ce que vous faites. Je l’ai juste inclus pour la commodité.) Si le vôtre est venu avec le certificat eDellRoot, son empreinte digitale sera probablement : ``` 98:A0:4E:41:63:35:77:90:C4:A7:9E:6D:71:3F:F0:AF:51:FE:69:27

Et son numéro de série : 6b:c5:7b:95:18:93:aa:97:4b:62:4a:c0:88:fc:3b:b6

``` Il est décevant que Dell fasse cela malgré le retour des clients de Lenovo et du Département de la Sécurité intérieure des États-Unis, et j’espère vraiment qu’ils feront rapidement quelque chose pour corriger cela. Plus il y a de gens qui savent et qui s’expriment, plus cela se produira rapidement. Il n’est pas connu si ce certificat provient de Dell Computer Corporation. Tous les certificats racines sont toujours auto-signés, donc eDellRoot dit qu’eDellRoot est un certificat légitime. Mais avoir une clé privée enregistrée sur un ordinateur est mauvais. Rotorcowboy a contacté Dell sur Twitter et @DellCares dit que c’est un certificat de confiance. > @DellCares C’est une préoccupation MAJEURE en matière de sécurité, surtout parce que vos clients ont tous le même CA sur leurs machines. (1) — Kevin Hicks (@rotorcowboy) 22 novembre 2015 Pour ceux qui disent que ce n’est qu’un CA de niveau racine et pas un logiciel espion complet comme Superfish, rotorcowboy a déclaré que “j’ai lu que beaucoup de gens sont sceptiques dans le sens où ce CA ne peut en fait rien faire parce que le CA n’a pas de capacités. J’ai fait plus de recherches et j’ai découvert que ce CA peut en effet signer des certificats de serveur. J’ai mis à jour la liste des fichiers ci-dessus pour inclure un certificat émis par le CA avec le nom de fichier “badgoogle.crt”, que vous pouvez également voir dans cette capture d’écran. Pour ceux qui ne sont pas familiers avec le fonctionnement, un attaquant sur le réseau pourrait utiliser ce CA pour signer ses propres certificats falsifiés à utiliser sur de vrais sites web et un utilisateur Dell affecté ne serait pas plus sage à moins qu’il ne vérifie la chaîne de certificats du site web. Ce CA pourrait également être utilisé pour signer du code à exécuter sur les machines des gens, mais je ne l’ai pas encore testé.” Dell n’a jusqu’à présent pas commenté le problème. Nous contactons Dell pour obtenir leurs commentaires. En attendant, si vous êtes propriétaire d’un PC/ordinateur portable Dell, vous êtes prié de vérifier si votre PC/ordinateur portable a le certificat malveillant selon la méthode donnée par Rotorcowboy.