Risques de sécurité associés au certificat eDellroot – Dell

Numéro : AV15-111 - MISE À JOUR
Date : Le 25 novembre 2015

Objet

Pour donner suite à l’avis sur eDellroot, nous souhaitons par le présent avis attirer votre attention sur les risques de sécurité récemment divulgués concernant un autre certificat appartenant à Dell : le certificat DSDTestProvider. Le certificat DSDTestProvider est installé dans les ordinateurs Dell par l’application Dell System Detect (DSD). Cette application est préinstallée dans certains systèmes Dell.

Évaluation

Des rapports de source ouverte indiquent que le certificat DSDTestProvider pourrait être préinstallé dans certains produits Dell. Ce certificat ouvre une faille qui pourrait être exploitée à des fins malveillantes.

Le certificat DSDTestProvider est un certificat autosigné d’AC (autorité de certification) de base. Dell System Detect est une application exécutée par les ordinateurs et les tablettes fondés sur Windows qui interagit avec le site Web de soutien de Dell. DSD installe un certificat racine de confiance (DSDTestProvider) qui comprend la clé privée.

Compte tenu de cette vulnérabilité, un auteur malveillant pourrait usurper le certificat DSDTestProvider à l’aide de la clé privée, ce qui permettrait de faire passer des fichiers malveillants pour des fichiers de confiance. Parmi les autres scénarios d’attaque possibles, mentionnons une attaque par intermédiaire qui permettrait de déchiffrer le trafic HTTPS et d’installer des logiciels malveillants.

Mesures Recommandées

Le CCIRC recommande d’appliquer aux applications touchées les mesures d’atténuation et de contournement suivantes :

  • Vérifiez si le certificat DSDTestProvider est installé dans votre produit Dell.
  • Envisagez de révoquer le certificat d’AC de base eDellroot dans vos produits Dell à l’aide du gestionnaire de certificats de Windows (certmgr.msc). La révocation du certificat aidera à prévenir le rétablissement du lien de confiance si DSN est réinstallé.

Références :

Numéro : AV15-111
Date : Le 24 novembre 2015

Objet

Le présent avis vise à attirer l’attention sur la divulgation récente de risques de sécurité associés au certificat eDellroot installé sur les produits Dell.

Le certificat eDellroot est préinstallé sur les ordinateurs Dell ou installé par l’application Dell Foundation Services. Ce certificat fait partie d’un outil de soutien et devait faciliter et simplifier l’entretien du système par les clients de Dell.

Évaluation

Par des sources ouvertes, le CCRIC a appris l’existence de vulnérabilités pouvant être exploitées à des fins malveillantes dans les produits Dell livrés avec le certificat eDellroot.

Le certificat eDellroot est un certificat de base d’autorité de certification (AC) autosigné. La clé privée du certificat, même si marquée comme non exportable, peut quand même être extraite au moyen d’outils libres spécialisés. En raison de cette vulnérabilité, un acteur malveillant pourrait mystifier un certificat à l’aide de la clé privée, et ainsi faire passer pour fiables des fichiers malveillants.

Mesures Recommandées

Le CCIRC recommande d’appliquer aux applications touchées les mesures d’atténuation et de contournement suivantes :

Références :

Note aux lecteurs

En appui à la mission de Sécurité publique Canada de bâtir un Canada sécuritaire et résilient, le mandat du CCRIC est d'aider à assurer la sécurité et la résilience des cybersystèmes essentiels non gouvernementaux à la base de la sécurité nationale, de la sécurité publique et de la prospérité économique du pays. À titre d'équipe d'intervention en cas d'incident lié à la sécurité informatique du Canada, le CCRIC agit comme centre national de coordination pour la prévention, l'atténuation, l'intervention et le rétablissement liés aux incidents cybernétiques commis contre des systèmes non fédéraux. Pour ce faire, il formule des conseils éclairés, offre du soutien et coordonne l'échange de renseignements ainsi que l'intervention.

S'il vous plaît noter que la clé PGP du CCRIC a récemment été mise à jour.
http://www.securitepublique.gc.ca/cnt/ntnl-scrt/cbr-scrt/_fl/CCIRCPublicPGPKey.txt

Pour obtenir des renseignements de nature générale, veuillez communiquer avec la division des Affaires publiques de l'organisme :

Téléphone : 613-944-4875 ou 1-800-830-3118  
Télécopieur : 613-998-9589 
Courriel : ps.communications-communications.sp@canada.ca

Date de modification :