Actualités

Dell : quand le fabricant installe un certificat racine commun sur ses portables (en “root” libre) !

Difficile de coller à l’esprit de liberté ou d’indépendance d’appareils technologiques nomades tels que les ordinateurs portables quand ceux-ci intègrent par défaut un élément fait maison par le fabricant et permettant de collecter des données personnelles diverses… C’est le cas du fabricant Dell qui vient de publier en catastrophe un communiqué officialisant sur certains portables l’existence d’un certificat racine auto-signé commun sur chaque machine incriminée !

 

Dell_eDellRoot certificat racine auto signé

Mise en évidence d’eDellRoot,
depuis la console de certificats (Menu “Démarrer”, puis “certmgr.msc”)
Source : Joe Nord.

 

En effet, dans son billet du 23 Novembre dernier, la société Texane reconnait cette dangereuse faille en précisant qu’elle ne représente pas un danger réel : “Le certificat n’est pas un logiciel malveillant ou un logiciel publicitaire. Il a été crée dans le but de fournir l’identifiant système à l’assistance en ligne de Dell afin de nous permettre d’identifier rapidement le modèle de l’ordinateur, rendant la manipulation plus facile et plus rapide pour nos clients. Ce certificat n’est pas utilisé dans le but de collecter des données personnelles de clients. De plus, il est important de souligner que le certificat ne se réinstallera pas de lui-même une fois qu’il sera correctement supprimé, en suivant les instructions recommandée par Dell“.

 

Si la réactivité de Dell peut être saluée, avec une mise à disposition d’un >tutoriel expliquant, pas-à-pas, comment supprimer le certificat eDellRoot<, l’affaire n’en reste pas moins effarante  puisqu’il aura fallut que certains tapent sur l’épaule du fabricant pour que ce dernier réagisse : c’est le cas, entre-autres, de Joe Nord ou encore, il y a un jour, de Rotorcowboy (Kevin Hicks) qui avait posté sur Reddit cette trouvaille inquiétante et avait découvert, après discussions avec d’autres détenteurs de portables de la marque achetés récemment qu’ils avaient tous un certificat racine et une clé privée similaire, constituant ainsi un véritable danger en terme de sécurité. En outre, Joe Nord souligne dans son billet que le certificat homemade de Dell à une validité très étendue (2039) et qu’il a été conçu pour “tous” les domaines… Un spectre large qui aurait – ou a pu ! – aiguiser les appétits de personnes peu scrupuleuses en collectant moultes données personnelles, par exemple.

 

Dell_eDellRoot SuperFish

Et, bien évidemment, il paraît irrésistible de ne pas relier cette petite cachotterie Dellienne à l’affaire SuperFish : en Février dernier, Lenovo faisait, lui aussi, son mea-culpa officiellement suite aux plaintes multiples de nombreux clients suite à un petit logiciel censé amélioré l’expérience d’e-achats en ligne, SuperFish ; Problème : la société, du même nom en charge du développement de ce logiciel publicitaire suggérant des produits similaires à ceux vus ou achetés, avait intégré un certificat racine construit sur des bases douteuses (MITM : l’homme du millieu ou Man in the Middle) et qui permettai potentiellement une fuite de données personnelles pour l’ordinateur concerné. Là aussi, Lenovo avait prévue un modus opérandi pour désinstaller proprement le certificat de SuperFish.

Quant à la finalité réelle du certificat rien n’a été expliqué clairement du côté de Dell, mise à part une vague raison d’assistance rapide visant à faciliter la procédure pour l’utilisateur en cas de soucis informatique… Une raison tout à fait vertueuse, pour peu que Dell n’ai pas été tenté d’utiliser cet accès à d’autres fins, en notant que la faille a été mentionné en premier par la communauté avertie et non par le fabricant lui-même ; Peut-être par omission ; Pensons-le… A “sur-veiller” !

Dell fournit déploie depuis peu un communiqué informatif avec des instructions pour les reports de bugs / erreurs du genre. Plus d’informations, juste >< !

 

Source : 01net.com




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Derniers commentaires
    • J’ai récemment lu un article parlant de cette faille découverte sur les ordinateurs portables de Dell lequel disait que la firme à déjà présenter en public la solution pour désactiver cet outil de collecte de données. Si quelqu’un arrive à mettre la patte dessus, je voudrais bien l’avoir s’il vous plaît. Merci

    • Bonjour,

      Tout est écrit dans la news concernant l’outil fourni par Dell.

    • Est tous les portable Dell comprennent cet outil de collecte de données et est-ce que le mode de sa suppression est le même pour tous les modèles?

      Merci

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2020 - v1.3.1