Le géant américain a créé une faille de sécurité importante en installant un faux certificat sur ses ordinateurs.
De la même façon que certains fakirs se brûlent en marchant sur des braises et que certains toreros sont encornés dans l’arène, certains géants du high-tech se brûlent avec le feu qu’ils croient si bien maîtriser. Dell, un des leaders mondiaux du matériel informatique, vient d’être pris à son propre piège. La firme américaine a installé dans ses propres PC un faux certificat de sécurité à des fins commerciales, dans le but d’introduire de la publicité dans les pages web. Résultat : elle a créé elle-même une faille de sécurité importante qui peut être exploitée assez facilement par des personnes malintentionnées.
Certains utilisateurs ont découvert dans le gestionnaire des certificats un certificat qui porte le nom de « eDellRoot ». D’après un expert en sécurité informatique, ce certificat est associé à une clé privée, et cette clé est la même pour tous les ordinateurs. Par conséquent, une personne qui parviendrait à extraire la clé serait en mesure de lancer des attaques par interception sur toutes les machines Dell qui possèdent ce certificat.
La société américaine, qui dans un premier temps niait les faits, a dû se rendre à l’évidence et a finalement fait son mea culpa. « Nous regrettons profondément ce qu’il s’est passé et faisons en sorte de résoudre le problème » confesse la compagnie sur son blog. En attendant qu’un patch soit disponible, Dell a mis en ligne un guide qui explique aux utilisateurs affectés la démarche à suivre afin de tout supprimer manuellement.
Photo : © Dell.
Ajouter un commentaire