Un nouveau certificat vulnérable sur les PC Dell

Nos confrères de LaptopMag ont découvert un second certificat exposant la clé privée ayant servi à le signer sur un portable XPS 13 de Dell. Baptisé DSDTestProvider, ce nouveau certificat expire, comme eDellRoot, le 9 novembre 2031.

La fonction DSDTestProvider n’est pas évidente, mais selon certains, il pourrait s’agir d’un certificat à usage interne resté par accident sur la machine à l’issue de sa sortie des chaînes d’assemblage.

En fait, selon le Cert-US, ce certificat est lié à l’application Dell System Detect. Celle-ci vise à simplifier les interactions avec les services de support technique du constructeur.

Las, comme eDellRoot, ce certificat peut être utilisé par des pirates pour conduire des attaques de type man-in-the-middle et ainsi intercepter des communications chiffrées. Mais il peut être également utilisé pour faire passer inaperçus des logiciels malveillants. Quant à sa clé privée, elle peut servir à générer d’autres certificats auxquels toute machine faisait confiance à DSDTestProvider fera automatiquement confiance.

La bonne nouvelle est que, contrairement à eDellRoot, DSDTestProvider peut être supprimé assez aisément, en passant par le gestionnaire de certificats de Windows (certmgr.msc) et en le glissant de la liste Trusted Root Certificate Store à Untrusted Certificates.

Avec eDellRoot, l’opération était moins triviale : supprimé manuellement, le certificat eDellRoot était réinstallé automatiquement au redémarrage suivant. Dell propose donc 8 pages de pas à pas – dans un document Word – pour supprimer correctement et définitivement le certificat et diffuse en parallèle une mise à jour.

Encore une fois, les clients entreprises qui ont appliqué à un ordinateur concerné une nouvelle image standard créée par leur DSI ne sont pas concernés.