Une faille peut permettre, en théorie, de prendre le contrôle de millions d'appareil, sans pour autant être critique. Cette vulnérabilité d'un driver de Dell en est un bon exemple.

Encore un nouvel exemple de la complexité des failles informatiques. L’entreprise de sécurité SentinelOne a prévenu le constructeur Dell au sujet d’une vulnérabilité qui existe depuis 12 ans, et qui touche des millions d’appareils — ordinateurs fixes, portables, tablettes… Après avoir collaboré depuis décembre sur la création d’un patch pour corriger le problème, SentinelOne a publié le 4 mai 2021 un rapport sur la vulnérabilité.

Les chercheurs attendront jusqu’au 1er juin pour révéler les détails de leur méthode d’attaque, le temps pour les personnes concernées de faire la mise à jour nécessaire, précise le Bleeping Computer. Une façon de ne pas donner aux malfrats les armes pour s’en prendre aux clients de Dell tant qu’ils n’ont pas eu l’opportunité de se protéger.

Presque tous les appareils Dell sont sensibles à la faille. // Source : CCO/Flickr- Andri Koolme

La vulnérabilité se trouve sur DBUtil, un logiciel de la catégorie des « drivers » (pilotes),  dont le rôle est de faire le lien entre l’OS de l’appareil (Windows, Linux, Android…) et le BIOS (le logiciel chargé de faire fonctionner les composants de la machine). Autrement dit, c’est un intermédiaire essentiel au bon fonctionnement de n’importe quel appareil Dell.

Une faille moins grave qu’elle en a l’air

La vulnérabilité composée elle-même de 5 petites failles — paraît gravissime : elle concerne des millions d’appareils utilisés par des particuliers, mais aussi par des entreprises, et traîne depuis plus de 12 ans. En réalité, le bilan est plus nuancé, et on peut même se dire que finalement, ce genre de faille est presque commun.

D’un côté, si un hacker parvient à exploiter la faille, il peut effectuer ce qu’on appelle dans le jargon une « élévation de privilège ». Concrètement, il pourra contrôler l’appareil comme s’il en était l’administrateur, et donc en faire ce qu’il veut.

De l’autre, la faille n’est pas considérée comme critique, car elle s’avère difficile à exploiter. Pour lancer l’attaque, le hacker doit avoir un accès physique à l’ordinateur, ou bien il doit déjà en avoir pris le contrôle. Dans le premier cas, cela signifie qu’il a réussi à dérober l’ordinateur ou à s’infiltrer dans l’entreprise. Dans le deuxième cas, la vulnérabilité lui permettra de renforcer sa présence sur le système, mais elle ne fera « que » aggraver une situation déjà critique. Dans tous les cas, cette vulnérabilité ne sert que lors de la deuxième étape d’une cyberattaque.

Symptôme d’un problème plus large

Comme l’explique The Record Media, Dell n’est qu’un nom de plus sur la longue liste des constructeurs avec des drivers vulnérables. C’est un problème à l’échelle de l’industrie : ce composant logiciel profond a été ignoré pendant longtemps par les recherches en sécurité, et n’est que très rarement patché. Pire, la façon même dont les drivers sont codés manque de précautions basiques. Le problème, c’est qu’il y en a derrière toutes les machines, comme les distributeurs de billets par exemple.

Désormais, leur faiblesse est au cœur d’un débat entre chercheurs en sécurité et constructeurs. Les premiers insistent qu’il faille opérer des mises à jour de grande échelle sur les drivers avant que les hackers incluent les vulnérabilités dans leurs schémas d’attaque de base, comme certains le font déjà. Les seconds paraissent passer ce problème au second plan, étant donné que l’exploitation de ces vulnérabilités nécessite d’avoir déjà un premier pied chez la victime. Signe du peu de considération accordé par les constructeurs, le chercheur de CrowdStrike Alex Ionescu affirme que le problème des drivers Dell a déjà été signalé 2 fois avant que SentinelOne ne le fasse une troisième fois en 2 ans.

Crédit photo de la une : PxHere

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux