Dell reconnaît avoir livré des ordinateurs portables avec une faille de sécurité

Un contributeur de Reddit a mis en garde contre une faille de sécurité découverte sur des ordinateurs portables Dell récemment livrés. Sous le nom de eDellRoot, un certificat root installé sur ses machines pourrait permettre à des attaquants d'«utiliser cette autorité de certification pour signer ses propres faux certificats et les utiliser sur des sites réels. Tout se passe à l’insu de l’utilisateur sauf s’il lui vient à l’esprit de vérifier la chaîne de certificats du site. Ce CA pourrait également être utilisé pour signer un code destiné à tourner sur les machines.» Ce certificat serait similaire à l'adware Superfish découvert chez Lenovo.

Dell a admis cette faille. Sur son blog, le fabricant dit avoir pris conscience que le certificat eDell Root avait involontairement introduit une vunérabilité de sécurité: «La sécurité et la vie privée de la clientèle est une préoccupation et une priorité pour Dell. Nous regrettons profondément ce qui est arrivé, et nous prenons des mesures pour y remédier.»

Utilisé pour recueillir des informations sur les type de modèle utilisé afin de simplifier le support, ce certificat peut été supprimé selon un processus recommandé par Dell. En outre, le fabriquant explique qu'une mise à jour logicielle, disponible à partir du 24 novembre, permettra de rechercher le certificat et de le retirer s'il est encore présent sur le système. Les clients commerciaux qui réinstallent leur système sans passer par Dell Foundation Services ne sont pas affecté par cette vulnérabilité.