Encore un nouvel exemple de la complexité des failles informatiques. L’entreprise de sécurité SentinelOne a prévenu le constructeur Dell au sujet d’une vulnérabilité qui existe depuis 12 ans, et qui touche des millions d’appareils — ordinateurs fixes, portables, tablettes… Après avoir collaboré depuis décembre sur la création d’un patch pour corriger le problème, SentinelOne a publié le 4 mai 2021 un rapport sur la vulnérabilité.
Les chercheurs attendront jusqu’au 1er juin pour révéler les détails de leur méthode d’attaque, le temps pour les personnes concernées de faire la mise à jour nécessaire, précise le Bleeping Computer. Une façon de ne pas donner aux malfrats les armes pour s’en prendre aux clients de Dell tant qu’ils n’ont pas eu l’opportunité de se protéger.
La vulnérabilité se trouve sur DBUtil, un logiciel de la catégorie des « drivers » (pilotes), dont le rôle est de faire le lien entre l’OS de l’appareil (Windows, Linux, Android…) et le BIOS (le logiciel chargé de faire fonctionner les composants de la machine). Autrement dit, c’est un intermédiaire essentiel au bon fonctionnement de n’importe quel appareil Dell.
Une faille moins grave qu’elle en a l’air
La vulnérabilité composée elle-même de 5 petites failles — paraît gravissime : elle concerne des millions d’appareils utilisés par des particuliers, mais aussi par des entreprises, et traîne depuis plus de 12 ans. En réalité, le bilan est plus nuancé, et on peut même se dire que finalement, ce genre de faille est presque commun.
D’un côté, si un hacker parvient à exploiter la faille, il peut effectuer ce qu’on appelle dans le jargon une « élévation de privilège ». Concrètement, il pourra contrôler l’appareil comme s’il en était l’administrateur, et donc en faire ce qu’il veut.
De l’autre, la faille n’est pas considérée comme critique, car elle s’avère difficile à exploiter. Pour lancer l’attaque, le hacker doit avoir un accès physique à l’ordinateur, ou bien il doit déjà en avoir pris le contrôle. Dans le premier cas, cela signifie qu’il a réussi à dérober l’ordinateur ou à s’infiltrer dans l’entreprise. Dans le deuxième cas, la vulnérabilité lui permettra de renforcer sa présence sur le système, mais elle ne fera « que » aggraver une situation déjà critique. Dans tous les cas, cette vulnérabilité ne sert que lors de la deuxième étape d’une cyberattaque.
Symptôme d’un problème plus large
Comme l’explique The Record Media, Dell n’est qu’un nom de plus sur la longue liste des constructeurs avec des drivers vulnérables. C’est un problème à l’échelle de l’industrie : ce composant logiciel profond a été ignoré pendant longtemps par les recherches en sécurité, et n’est que très rarement patché. Pire, la façon même dont les drivers sont codés manque de précautions basiques. Le problème, c’est qu’il y en a derrière toutes les machines, comme les distributeurs de billets par exemple.
Désormais, leur faiblesse est au cœur d’un débat entre chercheurs en sécurité et constructeurs. Les premiers insistent qu’il faille opérer des mises à jour de grande échelle sur les drivers avant que les hackers incluent les vulnérabilités dans leurs schémas d’attaque de base, comme certains le font déjà. Les seconds paraissent passer ce problème au second plan, étant donné que l’exploitation de ces vulnérabilités nécessite d’avoir déjà un premier pied chez la victime. Signe du peu de considération accordé par les constructeurs, le chercheur de CrowdStrike Alex Ionescu affirme que le problème des drivers Dell a déjà été signalé 2 fois avant que SentinelOne ne le fasse une troisième fois en 2 ans.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !