Certificat SSL : une grave faille affecte des ordinateurs Dell

Plusieurs modèles de PC Dell embarquent un certificat qui peut compromettre la sécurité des échanges SSL. Dell s'est excusé, et a publié les instructions pour résoudre le problème.

Des certificats très irréguliers ont été trouvés dans plusieurs modèles de PC Dell – des modèles Inspiron 5000, le XPS 15 et 13, Precision M4800, Latitude sont concernés. L'affaire, qui scandalise les spécialistes de la sécurité, ressemble beaucoup à celle du "Superfish" qui a affecté Lenovo il y a quelques mois. Là encore, les terminaux Dell affectés embarquent un certificat racine problématique, appelé "eDellRoot". C'est à l'origine un développeur, Joe Nord, qui l'a remarqué et a tiré la sonnette d'alarme lorsqu'il s'est rendu compte que la clé privée correspondant à ce certificat était stockée sur son ordinateur. De quoi ouvrir grand la porte à plusieurs attaques, et notamment compromettre des échanges censés être sécurisés via SSL/HTTPS. Si la plupart des navigateurs se font berner, ce n'est toutefois pas le cas de Firefox, rapporte Ars Technica.

Dell est d'autant plus pointé du doigt, que le fournisseur a vraisemblablement préinstallé ce certificat après le scandale très similaire du "Superfish" de Lenovo - que Dell avait d'ailleurs vivement condamné à l'époque. Dell a évidemment dû réagir, et a publié ses excuses pour avoir introduit une telle vulnérabilité dans ses terminaux. Des instructions pour résoudre le problème ont été mises en ligne dans la foulée.

Faille / Dell