Pc-urgence Les outils de MAJ des constructeurs de PC, nids à vulnérabilités - Pc-urgence

Les outils de MAJ des constructeurs de PC, nids à vulnérabilités

Les outils de mise à jour proposés par les constructeurs de PC constituent des portes ouvertes à toutes sortes de vulnérabilités. (crédit : D.R.)

Les outils de mise à jour proposés par les constructeurs de PC constituent des portes ouvertes à toutes sortes de vulnérabilités. (crédit : D.R.)

Une étude menée par les chercheurs de la société Duo Security ont montré que les outils de mise à jour préinstallés par les principaux constructeurs de PC, Acer, Asus, Dell, HP et Lenovo, constituent des portes ouvertes à toutes sortes de vulnérabilités. L’absence de connexion chiffrée HTTPS par défaut est notamment pointée du doigt.

Et si les outils de mise à jour implantés par défaut par les constructeurs de PC dans leurs machines étaient en fait des nids à vulnérabilités ? Une question sur laquelle le cabinet Duo Security s’est penché et dont les résultats font froid dans le dos. Les chercheurs de cette société ont en effet testé les logiciels de MAJ présents par défaut dans les ordinateurs portables de cinq fabricants de PC, à savoir Acer, Asus, Dell, HP et Lenovo… Et le résultat n’est vraiment pas rassurant : tous ont en effet au moins une vulnérabilité sérieuse de sécurité. Ces faiblesses pourraient permettre à des attaquants d’exécuter du code distant pour prendre le contrôle total d’un système via l’obtention de privilèges système de niveau administrateur.

Dans la plupart des cas, les problèmes résultent du fait que ces outils n’utilisent pas de connexion chiffrée HTTPS pour vérifier la disponibilité de MAJ à télécharger. De plus, certains d’entre eux ne vérifient même pas que les fichiers téléchargés sont signés par les fabricants avant de les exécuter. Une confiance totale et absolue qui paraît bien déplacée à l’heure où les menaces protéiformes se multiplient. Le manque de chiffrement entre l’outil de mise à jour et les serveurs des fabricants permettent aux attaquants d’intercepter des requêtes et de diffuser des logiciels malveillants potentiellement exécutables via ce logiciel. Cette attaque de type man-in-the-middle peut être lancée depuis des réseaux sans fil non sécurisés, allant de routeurs compromis jusqu’aux infrastructures Internet de haut niveau. 

Un contournement des mesures de sécurité en dépit d’HTTPS et de la signature de fichiers

Dans certains cas, même avec des chiffrements HTTPS et la validation des signatures de fichiers, d’autres vulnérabilités peuvent aussi permettre à des attaquants de contourner des mesures de sécurité, ont fait savoir les chercheurs de Duo Security. « Au cours de notre recherche, nous avons été souvent accueillis par un meli-melo de services systèmes, web services, COM servers, extensions de navigateur, sockets et named pipes », ont indiqué les chercheurs.

Parmi les outils testés, on trouve Lenovo Solutions Center, l’un des meilleurs logiciels de MAJ testé par Duo Security, disposant de solides protections contre les attaques man-in-the-middle. Pour autant, le second outil Lenovo UpdateAgent n’a de son côté aucune barrière de protection et pointe en queue de peloton des solutions testées. Concernant Dell Update, des améliorations notables ont été effectuées depuis le fiasco des certificats eDellRoot de novembre dernier alors que du côté de HP Support Solutions Framework, plusieurs possibilités de contournement des protections ont été trouvées.

Let’s block ads! (Why?)

Powered by PC-Urgence.com

Dépannage informatique à domicile

Dépannage informatique à domicile

PC urgence, le spécialiste du dépannage informatique à domicile sur Paris et Île-de-France, jour et nuit vous bénéficiez d'un dépannage informatique sans aucun surcoût et sans frais de déplacements. Contactez-nous au 09.70.40.81.52.
Protected by Copyscape Web Plagiarism Tool

Laisser un commentaire

Vous devez être connecté pour publier un commentaire.

Assistance à Distance

Prix:
39 €

Déduction - 50 %

Ouvert 24/24 Week end
border

immédiate

Elu Service de l'année

Prix:
2013

Assistance à Distance

Prix:
39 €

Assistance à Distance

Prix:
39 €

Installation Internet

Prix:
89 €
ACCUEIL    |    ACTUALITES    |    internet    |    accessoires et logiciels    |    contact
Claude Arel Retrouvez-nous sur Google+ Google Copyright © 2010-2013 Pc-Urgence