Et si les outils de mise à jour implantés par défaut par les constructeurs de PC dans leurs machines étaient en fait des nids à vulnérabilités ? Une question sur laquelle le cabinet Duo Security s'est penché et dont les résultats font froid dans le dos. Les chercheurs de cette société ont en effet testé les logiciels de MAJ présents par défaut dans les ordinateurs portables de cinq fabricants de PC, à savoir Acer, Asus, Dell, HP et Lenovo... Et le résultat n'est vraiment pas rassurant : tous ont en effet au moins une vulnérabilité sérieuse de sécurité. Ces faiblesses pourraient permettre à des attaquants d'exécuter du code distant pour prendre le contrôle total d'un système via l'obtention de privilèges système de niveau administrateur.
Dans la plupart des cas, les problèmes résultent du fait que ces outils n'utilisent pas de connexion chiffrée HTTPS pour vérifier la disponibilité de MAJ à télécharger. De plus, certains d'entre eux ne vérifient même pas que les fichiers téléchargés sont signés par les fabricants avant de les exécuter. Une confiance totale et absolue qui paraît bien déplacée à l'heure où les menaces protéiformes se multiplient. Le manque de chiffrement entre l'outil de mise à jour et les serveurs des fabricants permettent aux attaquants d'intercepter des requêtes et de diffuser des logiciels malveillants potentiellement exécutables via ce logiciel. Cette attaque de type man-in-the-middle peut être lancée depuis des réseaux sans fil non sécurisés, allant de routeurs compromis jusqu'aux infrastructures Internet de haut niveau.
Un contournement des mesures de sécurité en dépit d'HTTPS et de la signature de fichiers
Dans certains cas, même avec des chiffrements HTTPS et la validation des signatures de fichiers, d'autres vulnérabilités peuvent aussi permettre à des attaquants de contourner des mesures de sécurité, ont fait savoir les chercheurs de Duo Security. « Au cours de notre recherche, nous avons été souvent accueillis par un meli-melo de services systèmes, web services, COM servers, extensions de navigateur, sockets et named pipes », ont indiqué les chercheurs.
Parmi les outils testés, on trouve Lenovo Solutions Center, l'un des meilleurs logiciels de MAJ testé par Duo Security, disposant de solides protections contre les attaques man-in-the-middle. Pour autant, le second outil Lenovo UpdateAgent n'a de son côté aucune barrière de protection et pointe en queue de peloton des solutions testées. Concernant Dell Update, des améliorations notables ont été effectuées depuis le fiasco des certificats eDellRoot de novembre dernier alors que du côté de HP Support Solutions Framework, plusieurs possibilités de contournement des protections ont été trouvées.