[MàJ] Dell propose un outil pour supprimer le certificat auto-signé de ses machines
Un sérieux problème de facilité
![[MàJ] Dell propose un outil pour supprimer le certificat auto-signé de ses machines](https://cdn.next.ink/inpactv7/data-next/images/bd/wide-linked-media/1143.jpg "[MàJ] Dell propose un outil pour supprimer le certificat auto-signé de ses machines")
Dell est sous le coup d’une polémique au sujet d’un certificat livré par défaut avec certains ordinateurs portables. À l’instar de ce qu’avait fait Lenovo, le composant utilise les mêmes clés pour l’ensemble des machines, posant un risque réel de sécurité. Bien que Dell ait déjà réagi, le cas relance une fois encore le débat sur la sécurité des certificats.
Dimanche, le développeur Joe Nord a publié un billet de blog montrant ses découvertes. Client récent d’un Inspiron 5000 de Dell, il a eu la surprise d’apercevoir un certificat root nommé « eDellRoot ». Surpris car ledit certificat dispose des droits maximaux, est décrit comme pouvant être utilisé pour des tâches variées et dispose d’une date de validité particulièrement éloignée : 2039. Mais il a surtout été inquiété de découvrir que le certificat disposait d’une clé privée associée.
Traduction, Dell a fourni un certificat auto-signé pouvant être utilisé pour de multiples opérations, et dont les clés peuvent être volées, même si elles sont déclarées comme non exportables. Peu de temps après, d’autres utilisateurs ont signalé des découvertes similaires sur le XPS 15, The Verge confirmant hier la présence du certificat sur le XPS 13. Des machines plutôt récentes donc, mais rien pour l’instant ne permet d’affirmer que des portables plus anciens ne sont pas également concernés.
Toutes ces machines sont malheureusement livrées avec le même certificat, et donc les mêmes clés. Ce qui signifie que si ces dernières devaient être volées, elles pourraient être exploitées pour créer de nombreuses attaques fonctionnelles sur les portables touchés. Cela peut aller de la signature d’une petite application malveillante dont on pourra ensuite faire la promotion auprès des utilisateurs de Dell ou plus globalement pour signaler un trafic réseau comme légitime et fournir du code malveillant.
Oui les clés peuvent déjà être exploitées
Dans la foulée, les chercheurs de Duo Security ont publié un article indiquant que les clés pouvaient bien être exploitées et qu’ils avaient réussi d’ailleurs à faire quelques tests. Ils ont également indiqué qu’il existait en fait au moins deux certificats, seul le premier disposant de droits root. Pour mieux refléter le danger inhérent à la situation, ils précisent en outre que leurs recherches ont montré qu’un système de type SCADA (infrastructures de contrôle et de gestion des données sur de larges échelles) utilisait ces certificats pour fournir des services via HTTP. Lié aux machines Dell également, un certificat Atheros Authenticode est en outre de la partie, pour la partie Bluetooth.
Pour les chercheurs, un cas typique d’exploitation serait l’analyse des données entrantes et sortantes d’une machine sur un réseau ouvert, à la terrasse d’un café par exemple. Le pirate pourrait se servir des clés pour introduire du code malveillant ou plus simplement pour observer tout le trafic chiffré via TLS et récupérer ainsi des données sensibles telles que les mots de passe et les coordonnées bancaires.
Une situation similaire à SuperFish chez Lenovo
Outre les soucis potentiels de sécurité que cette découverte engendre, il est difficile de ne pas faire un parallèle immédiat avec le cas SuperFish. En février dernier, le constructeur Lenovo avait subi une vraie levée de boucliers à cause d’un logiciel chargé selon ses dires d’injecter du contenu pertinent lors de la navigation, pour effectuer des « recommandations ». Dans la pratique, il s’agissait surtout de publicité. Or, pour suivre les habitudes de l’utilisateur, SuperFish se servait d’un certificat root auto-signé dont les clés pouvaient être détournées selon le même schéma. La portée du problème était d’ailleurs la même puisqu’une grande partie des machines grand public de Lenovo incluait ce certificat.
Duo Security note à ce sujet qu’avec les révélations sur le certificat de Dell, une tendance assez inquiétante apparaît chez les constructeurs. Car si Lenovo et Dell s’autorisent ce genre de pratique, rien ne dit que d’autres OEM n’ont pas la même philosophie. Les chercheurs précisent que l’inclusion de ces certificats est sans doute réalisée dans une optique de simplification des services associés (dans le cas de Dell, a priori pour du support technique). Mais puisqu’ils manipulent des composants particulièrement sensibles, la sécurité devrait en être sérieusement revue.
Supprimer le certificat et le module qui le réinstalle
D’ailleurs, à même situation, même solution. Dell a réagi en indiquant d’une part que le certificat était supprimé de toutes les nouvelles machines et que les clients concernés étaient contactés pour leur proposer une démarche à suivre. L’objectif est bien entendu de supprimer le certificat, en cherchant « certificats » dans Windows et en ouvrant la console à la section « Autorités de certification racines de confiance ».
Duo Security indique qu’il faut également supprimer un fichier nommé « Dell.Foundation.Agent.Plugins.eDell.dll », le module réinstallant sinon le certificat à chaque fois. Notez qu'un autre chercheur en sécurité, Hanno Böck, a mis en ligne une page permettant de tester la présence du certificat.
Il serait temps dans tous les cas que les OEM aient une vraie réflexion à ce sujet et les facilités autour des certificats soient clairement abandonnées. Pour Dell, la situation est d’autant plus ironique que son site officiel réagit au cas SuperFish, en indiquant par exemple en bas de la page consacrée au XPS 15 que la sécurité est prise au sérieux.
Commentaires (57)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 24/11/2015 à 10h52
Ca existe des laptops à monter soi-même pièce par pièce, comme les desktops ?
Le 24/11/2015 à 10h54
Non, sinon tu peux acheter un Mac, au moins là pas de problème.
Le 24/11/2015 à 10h57
J’en rêve. À la Fairphone / Ara project.
Le 24/11/2015 à 10h57
Non Sinon tu te retrouve avec un laptop qui à triplé en epaisseur. et est très compliqué à monter comparé à un pc fixe.
" /> )
Mais pour résoudre ce genre de soucis, il suffit d’installer une versions du commerce de Windows pour voir ce certificat disparaître (ou passer sous unix)
Il est pré-installé dans les version de Windows préchargé dans les machines.
Après si tu pensais te dire que monter ton pc portable toi même va t’empêcher d’avoir des failles ca va etre le même soucis que sur pc fixe avec les firmware des disques qui sont piraté par la NSA et je ne sais quoi d’autre ^^ (je sens gros comme une maison que les chipset Intel sont défaillant et permettent des intrusions comme dans un moulin si tu fais parti de la NSA
Le 24/11/2015 à 10h59
Ou pas. Ce souci de certificat peut parfaitement se retrouver chez Apple si ils font la même bétise (parfaitement possible).
L’idéal est de se faire sa propre installation système, quel que soit le portable.
Le 24/11/2015 à 11h00
Pour le coup, j’ai un peu de mal à comprendre ce que fait ce “certificat”.
C’est un composant logiciel inclus dans le système Windows de chaque ordinateur qui espionne et ouvre des brèches de sécurité ? Le système Windows permet ce genre de choses par défaut ?
Le 24/11/2015 à 11h01
Le plus proche de ce que tu décrit c’est ce que fait clevo (un constructeur taïwanais) ils font des barebone (ils fournissent une carte mère, une carte graphique et un proco, a toi de mettre le reste)
il y a plein de revendeurs dont certains te proposent vraiment de ne rien prendre et de tout assembler.(clevo.fr n’est pas un revendeur officiel)
Après je n’ai aps essayé le matériel donc aucune idée de la qualité réel. MSI fait aussi des machines (pour gamer) sans OS donc pas de problème de certificats.
Le 24/11/2015 à 11h05
Ce certificat ne fait rien en soit. Par contre il permet de signer des certificats htts pour des sites. Ce qui veut dire que si on a les clefs de ce certificat on peut se faire passer (au près des utilisateurs de ces ordinateurs) pour google(par exemple) et faire une attaque type Man in the middle ce qui n’est pas possible autrement en https (le principe des certificats est la pour l’empêcher)
Le 24/11/2015 à 11h10
Bien sur :http://bons-constructeurs-ordinateurs.info/
Le 24/11/2015 à 11h11
C’est quoi le rapport ?
Le 24/11/2015 à 11h12
Le 24/11/2015 à 11h16
eDellRoot, ce nom ne manque pas d’ajouter un petit côté cocasse à l’affaire.
" />
Le 24/11/2015 à 11h18
Le 24/11/2015 à 11h18
récup des clés produits, et formatage avec install propre à la main, zou
" />
Le 24/11/2015 à 11h35
Il serait temps dans tous les cas que les OEM aient une vraie réflexion à
ce sujet et les facilités autour des certificats soient clairement
abandonnées.
Tu m’étonnes.
Pour Dell, la situation est d’autant plus ironique que son
site officiel réagit au cas SuperFish, en indiquant par exemple en bas
de la page consacrée au XPS 15 que la sécurité est prise au sérieux.
Hôpital, charité…
Le 24/11/2015 à 11h42
Le 24/11/2015 à 11h49
Clévo permet ça. J’ai un 13”, avec un i7, deux ports mPcie, un mSata, un emplacement 2.5 SATA, deux emplacement RAM, le CPU peut être changé, l’écran peut être changé par un 4K, etc… Ceux un peu plus grand sont encore plus modulaires (GPU MXM, ce genre de choses).
Le 24/11/2015 à 11h53
On le voit tellement partout que je croyais que c’était aussi Cazeneuve sur la photo d’illustration
" />
Le 24/11/2015 à 11h56
Ah, toi aussi
" />
Je me sens moins seul d’un coup !
Le 24/11/2015 à 13h18
ah c’est pas lui?
" />
Le 24/11/2015 à 13h18
Le 24/11/2015 à 13h29
Tu as trouvé la clé sur un pc de gamme pro?
J’ai fait le test avec les postes Dell que j’ai sous la main (multiples références de Latitude) et pas un ne semble affecté.
Le 24/11/2015 à 13h35
Oui, au moins des Precision T17xx (tours) et des Latitude E7xxx (laptops).
Tous livrés cette année.
Le 24/11/2015 à 13h42
merde la hiérarchie a des E7440
" />
Le 24/11/2015 à 13h43
C bon de savoir.
Le 24/11/2015 à 14h13
Le 24/11/2015 à 14h20
Le 24/11/2015 à 15h21
Eh oui ! Fait à la méthode La Rache
" />
Le 24/11/2015 à 15h41
@domFreedom
" />
Le 24/11/2015 à 15h41
Le 24/11/2015 à 15h50
Le 24/11/2015 à 16h14
En tant que pro, je trouve que le mieux étant de se faire sa propre installation…
Une fois ton master fait, ça prend 15minutes à installer sur un nouveau poste. Et tu es sûr de ce qui est installé et configuré.
Mais ça perd la licence OEM.
Le 24/11/2015 à 16h24
Il y a des utilitaires permettant de la récupérer. Token d’activation compris.
Le 24/11/2015 à 16h25
Le 24/11/2015 à 20h06
Y a pas moyen de virer cette m par GPO ? Car je me vois mal faire la manip à la main sur une cinquantaine de poste…
Faudrait vraiment que les fabricants (HP / Dell, Asus …) arrêtent de faire du logiciel, car ils sont vraiment mauvais…
Le 25/11/2015 à 06h41
Le 25/11/2015 à 07h50
Le 25/11/2015 à 08h28
Le 25/11/2015 à 08h31
Pour les pilotes DELL, il existe un site DELL Driver CAB qui regroupe tous les drivers par modèle (pour la gamme Pro).
Le 25/11/2015 à 09h19
Mon laptop XPS 13, avait bien ce certificat :)
Le 25/11/2015 à 16h47
Le 24/11/2015 à 11h58
Pour ceux qui ont des PC portables Dell et qui veulent regarder s’ils sont touchés :
Lancer un invite “exécuter” (Windows+R), tapez certmgr.msc
La clé incriminée se trouverait sous “autorirés de certification racines de confiance” -> “certificats”
Rien sur mon Latitude, je pense que ça ne concerne que la branche grand public et non professionnelle.
Le 24/11/2015 à 11h59
Le 24/11/2015 à 11h59
Heu dans le certificat il n’y a qu’une clé publique.
Alors sauf si on a pu calculer la clé privée associée, on ne va pas pouvoir faire grand chose.
On va forcer le client à chiffrer , mais on sera incapable de déchiffrer sans la clé privée.
Le problème est plus que le PC est grand ouvert pour installer ce que le fabriquant veux.
Alors le cout du pirate qui a la terrasse du café viens snifer le numéro de carte bleu en usurpant le certificat, c’est juste pas possible de la manière dont c’est décrit.
Le 24/11/2015 à 12h00
On a ça sur les PC Dell qu’on a commandé cette année (et c’est pas un petit nombre).
Après avoir fouillé un peu, le certificat se trouve à cet emplacement du registre :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\98A04E4163357790C4A79E6D713FF0AF51FE6927
Donc c’est tout à fait supprimable rapidement, sans avoir à aller dans le gestionnaire de certificats de chaque poste, avec un .reg et/ou une GPO dans le cas d’un AD.
Et si il y a un fichier à supprimer en plus, ce n’est pas la fin du monde.
J’ai demandé plus d’infos hier à mon commercial Dell (1. si enlever le certificat pose problème pour des applications légitimes Dell, 2. si ils comptent publier rapidement un moyen recommandé de supprimer ce certificat sur un poste et sur un parc, 3. qui a eu cette idée de merde), sans réponse pour le moment sur aucune de ces trois questions.
NXI m’aura donc informé avant lui.
EDIT :
jimmy_36, la clé privée a déjà été extraite.
Voir le topic sur Reddit.
Le 24/11/2015 à 12h01
Merci, je ne savais pas que microsoft utilisait des certificats X.501 pour les sources logiciels… c’est juste abérant.
(enfin en même temps linux ne vérifie rien, certain gestionnaires de paquets demandent des signatures GPG pour installer des paquets mais sinon il n’y a pas de vérification, on fait confiance a l’utilisateur)
Le 24/11/2015 à 12h04
Le 24/11/2015 à 12h12
J’avais effectivement ce certificat sur mon tout nouveau Dell XPS 15 et le site de test que vous donnez l’a bien repéré (sauf avec Firefox qui lui utilise son propre système \o/)
Je l’ai supprimé mais par contre, je ne retrouve pas le fichier “Dell.Foundation.Agent.Plugins.eDell.dll”
Vous savez où il se trouve exactement?
Le 24/11/2015 à 12h21
Le 24/11/2015 à 12h25
Sur mon poste, il est (…plus pour longtemps) dans :
C:\Program Files\Dell\Dell Foundation Services
Le 24/11/2015 à 12h34
Je met en doute la portée de cette affaire.
Une clé privée ne se calcule pas comme ça, il faut un algorithme vulnérable ou aller pirater les serveurs de Lenovo : et la l’entreprise peut mettre la clé sous la porte.
Un certificat auto-signé qui appartient au contructeur de la machine moi ça me choque pas.
Il faut juste se dire que le constructeur va pouvoir installer ce qu’il veux sur cette machine c’est tout.
Ces histoires de piratage à distance, ça tiens pas debout.
Le 24/11/2015 à 12h36
Dans ce cas ça craint effectivement.
Le 24/11/2015 à 12h42
Le 24/11/2015 à 12h44
Bon, je viens de verifier, et on peut aussi le trouver sur des serveurs … genre j’ai un R530 acheté il y a 1 an et le certificat est installé …
Le 24/11/2015 à 12h47
En même temps, ils ne mérite pas mieux, mettre la clé publique et la clé privée au même endroit …
Le 24/11/2015 à 12h57
Pour les anglophones, Tom Scott avait fait il y a un mois une très très bonne vidéo sur le MITM et les dangers de Superfish… et donc maintenant par extension d’eDellRoot aussi.
Le 24/11/2015 à 13h18
Mais heu… sinon une installation de Windows et hop tout disparait.