Dell reconnait une faille de sécurité majeure dans certains appareils

Certains modèles d'ordinateurs de Dell intègrent un certificat qui présente une faille de sécurité. L'entreprise a reconnu son erreur et propose un outil et un tutoriel pour se débarrasser de ce certificat gênant.

Vous vous rappelez peut-être du scandale “Superfish”, un malware découvert dans les ordinateurs fabriqués par Lenovo. Une pareille mésaventure vient d’arriver avec Dell dont certains modèles d’ordinateurs présentent un certificat les rendant vulnérables aux attaques. Le fabricant s’est toutefois excusé et mis à disposition des utilisateurs tous les outils pour éliminer le certificat incriminé.

Dell : un certificat présente une faille de sécurité

C’est Joe Nord, un développeur informatique qui a découvert une faille de sécurité importante dans un certificat installé dans certains modèles d’ordinateurs du fabricant Dell. Les modèles concernés sont les XPS 15 et XPS 13 et Inspiron 5000. Ce type de faille rappelle l’affaire “Superfish” et les ordinateurs Lenovo, bien que Dell ait affirmé que si le certificat pose un problème de sécurité, ce n’est pas intentionnel et il n’a rien à voir avec un malware.

Ce certificat, baptisé “eDellRoot” est associé à une clé unique, toutes les machines qui en sont équipées ont donc les mêmes clés. Etant assez facile à extraire, une personne malintentionnée pourrait s’en servir pour lancer des attaques sur n’importe quel modèle mentionné ci-dessus par l’intermédiaire d’un réseau ouvert, afin de récupérer des données sensibles ou envoyer un code malveillant par exemple.

Dell s’excuse et donne les instructions pour éliminer le certificat

Si au début de l’affaire Dell a réfuté tout problème de sécurité en relation avec ce certificat, le fabricant a fini par reconnaitre la faille et s’excuser auprès de ses utilisateurs. “La sécurité de la clientèle et la vie privée est une préoccupation et une priorité pour Dell ; Nous regrettons profondément ce qui est arrivé, et nous prenons des mesures pour y remédier“, déclarait-il dans un billet de blog.

Ainsi, depuis hier le fabricant nord-américain a déployé une mise à jour qui détectera le certificat et l’éliminera. Il a aussi posté sur Internet la marche à suivre pour l’éliminer et également mis à disposition un outil pour ceux qui ne voudraient pas attendre la mise à jour.