Une faille de sécurité dans le logiciel des casques Sennheiser
publié le 1 décembre 2018 à 13h00.
SennheiserSennheiser
Tous nos appareils électroniques peuvent être attaqués par des personnes malintentionnées. Y compris un simple casque audio. Une faille de sécurité vient ainsi d'être découverte dans les caques Sennheiser.
Il y a quelques années encore, il suffisait de brancher votre casque pour en profiter. C’est encore le cas aujourd’hui, dans de nombreux cas, mais de plus en plus souvent, les fabricants enrichissent ces accessoires de fonctionnalités enrichies, pour personnaliser le son notamment. Et cela passe par une surcouche logicielle.
Une faille de sécurité dans le logiciel Sennheiser HeadSetup
Malheureusement pour Sennheiser, cette surcouche n’est pas sans faille. La société spécialisée Secorvo a découvert une brèche dans la version desktop du logiciel. Selon ces chercheurs, Sennheiser – ou quiconque a conçu le logiciel – a utilisé la même clef de déchiffrement pour chaque installation du logiciel.
Cela signifie que, en théorie, un hacker qui parvient à déchiffrer cette clef peut se fabriquer un certificat et se faire passer pour Sennheiser – c’est le principe de l’attaque de l’homme du milieu -. La marque a été mise au courant et a déclaré travailler sur un correctif : “Sennheiser a été informé de cette vulnérabilité avant qu’elle ne soit rendue publique, l’impact est clairement évalué et nous avons commencé à travailler sur une mise à jour de HeadSetup pour corriger le problème.”
Un correctif est en préparation
En attendant que le correctif soit en place, Sennheiser propose une solution de contournement en supprimant le certificat. Tout est détaillé sur la page support dédiée.