Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

HP révoque un certificat utilisé par accident pour signer un malware

Oups

HP révoque un certificat utilisé par accident pour signer un malware

Le 13 octobre 2014 à 16h20

HP avertit actuellement certains de ses clients au sujet d’un problème de sécurité lié à un certificat. Ce dernier a été utilisé par erreur pour signer un malware, obligeant le constructeur à le révoquer. Explications.

Un malware signé par erreur

Un très grand nombre d’entreprises utilisent des certificats pour signer numériquement leurs produits et attester qu’ils proviennent bien d’une source fiable. Parfois, la chaine de confiance sur laquelle est bâti tout le système est brisée, forçant des sociétés à révoquer les certificats puisqu’ils ne peuvent plus rien garantir. Mais il peut arriver également qu’un certificat authentique soit utilisé pour signer le code d’un logiciel malveillant.

 

C’est précisément ce qui est arrivé à HP. Le problème, révélé par Brian Krebs récemment,  tient presque d’une situation cocasse. À l’origine, il provient d’une machine infecté par un malware. Le développeur,  qui n’avait pas conscience de cette intrusion, procédait à ses travaux habituels. Le malware s’est alors retrouvé pris dans le flux, notamment la mise en place d’un pack regroupant certains outils. On connait la suite : le pack a été intégralement signé, fournissant au malware un certificat tout ce qu’il y a de plus authentique.

Le malware n'a pas été diffusé, mais les utilisateurs seront gênés 

Il n’y a dans la pratique pas de danger immédiat. Comme HP l’a confirmé à Krebs, ce pack d’outils n’a en fait jamais été distribué aux utilisateurs après sa construction en 2010. HP n’a donc pas été vecteur de cette menace. Cependant, distribué ou pas, ce malware a quand même été signé et la firme a choisi de révoquer le certificat, par sécurité.

 

De fait, s’il n’y a pas de danger, il y aura quand même une gêne pour les utilisateurs concernés. Les pilotes et logiciels signés avec ce certificat vont provoquer en effet des avertissements. HP informe donc par exemple que réinstaller des pilotes provenant du support fourni avec un ordinateur peut afficher sous Windows des alertes sur l’incapacité du système à vérifier que le code est bien ce qu’il affirme.

 

La révocation du certificat se fera le 21 octobre, soit la semaine prochaine. HP a indiqué que des contacts étaient pris avec les clients concernés, afin de les avertir de l’éventuelle gêne occasionnée. Notez que le constructeur devra publier à nouveau les pilotes et logiciels touchés avec un nouveau certificat. Krebs souligne cependant une grande inconnue : les machines professionnelles équipées de partitions de restauration, car personne ne semble capable de dire actuellement comme cette fonctionnalité réagira en l’absence d’un certificat valide.

Commentaires (14)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







RaoulC a écrit :



Ya que moi que ca choque, un pack d’outils de 2010 jamais distribué? En 2014?



<img data-src=" />



&nbsp;

Peut-être un pack d’outils développé en interne qui n’a plus eu de raison d’exister à un moment donné.


votre avatar

suis-je le seul a penser que l’article fait référence à truecrypt quand je l’image d’illustration

votre avatar

La blague dans l’histoire c’est que la vérification des listes de révocations est pas forcément activé de base suivant votre navigateur.

votre avatar







monpci a écrit :



suis-je le seul a penser que l’article fait référence à truecrypt quand je l’image d’illustration







Le rapport entre HP et Truecrypt ?


votre avatar

Donc le pb a eu lieu il y a 4 ans, et le malware n’aurait jamais été diffusé et HP n’a rien rendu public pendant 4 ans. Pourquoi donc en parler maintenant et gêner les clients en les obligeant à réinstaller leur drivers si le composant incriminé n’a pas été diffusé ? Quelles versions d’OS windows sont concernées ? Tous ceux qui existaient il y a 4 ans ? Le fait d’avoir différé l’annonce est-il en lien avec la diminution du parc windows XP et sa fin de support ?

votre avatar







RaoulC a écrit :



Ya que moi que ca choque, un pack d’outils de 2010 jamais distribué? En 2014?



<img data-src=" />





C’est bon signe pour HP non ?

Ils ont de l’argent en excès à balancer par les fenêtres.


votre avatar







_Beryl_ a écrit :



Donc le pb a eu lieu il y a 4 ans, et le malware n’aurait jamais été diffusé et HP n’a rien rendu public pendant 4 ans. Pourquoi donc en parler maintenant et gêner les clients en les obligeant à réinstaller leur drivers si le composant incriminé n’a pas été diffusé ? Quelles versions d’OS windows sont concernées ? Tous ceux qui existaient il y a 4 ans ? Le fait d’avoir différé l’annonce est-il en lien avec la diminution du parc windows XP et sa fin de support ?





Je pense que l’annonce n’a pas été différée. Le problème date de 4 ans, mais sa découverte doit être récente, tout simplement.


votre avatar

Drôle “d’accident” quand même <img data-src=" />

votre avatar

Ouais… Oups. Pour ça qu’il scinde le business? Pour essayer d’en sauver une partie avant la myriade de plaintes qui vont leur tomber sur la tête et les ruiner?

votre avatar

Ce que je ne comprend pas c’est qu’est qui empêche un créateur de malware d’aller acheter un certificat de signature de code chez big daddy, comodo ou verisign pour signer ses propres créations ?



Mise à part les drivers WHQL qui nécessite un audit de code et moult tests, on peut signer assez simplement ses exécutables.



Ou alors je rate quelque chose.

votre avatar







viruseb a écrit :



Ce que je ne comprend pas c’est qu’est qui empêche un créateur de malware d’aller acheter un certificat de signature de code chez big daddy, comodo ou verisign pour signer ses propres créations ?



Mise à part les drivers WHQL qui nécessite un audit de code et moult tests, on peut signer assez simplement ses exécutables.



Ou alors je rate quelque chose.





Car les verisign et cie demande des infos avant de filer un certificat, et normalement ils doivent vérifier ces infos.



C’est donc une prise de risque que d’obtenir un certificat, car ça laisse des indices quand bien même tu aurais fourni de fausses infos. Et surtout ton certificat n’aura jamais le nom de “HP” ou autre société connu (entre autre car ces noms ont déjà leur certificat racine).



Mais rien n’empêche un virus d’être signé, et certains le sont. C’est juste rarement indispensable, donc leurs auteurs s’en passent.


votre avatar







viruseb a écrit :



Ce que je ne comprend pas c’est qu’est qui empêche un créateur de malware d’aller acheter un certificat de signature de code chez big daddy, comodo ou verisign pour signer ses propres créations ?



Mise à part les drivers WHQL qui nécessite un audit de code et moult tests, on peut signer assez simplement ses exécutables.



Ou alors je rate quelque chose.





L’autorité de certification est sensé vérifier ton identité et faire une mini-enquete.. Si un méchant pas beau développer arrive à faire signer son malware et que des plainte ont lieu, il y a de grandes chances que ce dev soit sur liste noire pour une 2ème signature…

Mais dans l’absolu je ne vois pas ce qui l’empêche…


votre avatar



ce pack d’outils n’a en fait jamais été distribué aux utilisateurs après sa construction en 2010.



Ya que moi que ca choque, un pack d’outils de 2010 jamais distribué? En 2014?



<img data-src=" />

votre avatar

Bin voilà pris la main dans le sac

HP révoque un certificat utilisé par accident pour signer un malware

  • Un malware signé par erreur

  • Le malware n'a pas été diffusé, mais les utilisateurs seront gênés 

Fermer