nos newsletters
Abonnez-vous à Micro Hebdo : 4,90 €/mois
Abonnez-vous à l'Ordinateur Individuel : 3 €/mois
Abonnez-vous à la version digitale
Abonnez-vous à 01Business et Technologies : 19 €/mois
Dell refuse de corriger une grosse faille de sécurité
Sur les portables Latitude, Dell propose lui-même un outil pour falsifier le numéro de série et désactiver le mouchard antivol Computrace.
Jeremy Verrier est responsable informatique au technicentre SNCF de Nevers. Il y a deux ans et demi, lors du renouvellement de sa flotte d’ordinateurs portables, il est séduit par l’offre sécurité du constructeur Dell : implanter dans chacune des nouvelles machines un outil de traçabilité. Connu sous le nom de Computrace, ce dernier permet de retrouver une machine volée et d’en effacer les données à distance. Pour Jeremy Verrier, le choix est évident : cette fonctionnalité sera la pierre angulaire de sa politique de sécurité et sera appliquée aux 120 nouveaux ordinateurs portables. Marché conclu, pour un mariage qui s’annonce sans encombres. L’histoire en décidera autrement.
Une intervention au départ bénigne
Jérémy Verrier
Responsable informatique SNCF
« Il y a huit mois, un technicien Dell est venu remplacer une carte mère défectueuse sur un des portables. Une intervention normale », raconte Jeremy Verrier. Curieux, il décide d’assister à l’opération. Une fois le remplacement matériel effectué, le technicien doit initialiser la nouvelle carte mère. L'opération s'effectue en deux étapes : la première, modifier le numéro de série inscrit dans le Bios. La seconde, activer Computrace, l’agent qui assure la traçabilité.
« Je vois alors le technicien récupérer un petit utilitaire, svctag.exe, qui lui permet d'entrer en communication avec le Bios », poursuit Jeremy. Cela se fait en bootant avec un simple CD. L’initialisation se déroule sans encombre, exception faite que le technicien s’est trompé lors de l’inscription du numéro de série. « Pas de souci, rassure ce dernier, je vais arranger ça. » Ah bon ? Le numéro de série est pourtant censé être infalsifiable une fois initialisé.
Or, surprise, le technicien reboote la machine, lance à nouveau svctag.exe et corrige le numéro de série. « Cette opération est normalement impossible avec Computrace actif », s’étonne Jeremy Verrier. Et pour cause : l’agent a été désactivé, réinitialisé par svctag. Un simple exécutable, téléchargeable sur le site de Dell et disponible sur la plupart des CD de restauration fournit avec les machines. Un voleur pourrait donc très simplement désactiver le mouchard Computrace et falsifier le numéro de série de la machine.
Histoire d'être sûr, le responsable informatique renouvelle l’opération une fois le technicien Dell parti. Et là, plus de doute, la faille est énorme. Un simple utilitaire, largement répandu, permet de contourner le système antivol des portables Dell... à condition d'avoir accès au Bios. Sa politique de sécurité ne repose plus désormais que sur le mot de passe qui verrouille ce Bios. Ses réclamations auprès d’Absolute Software, éditeur de Computrace, et de Dell resteront sans réponses malgré les relances. Jeremy croise les doigts pour que sa protection du Bios tienne.
Un risque jugé faible par Dell
Seulement voilà, l'ultime rempart a rendu l’âme il y a quelques mois avec la mise en ligne, sur des réseaux pirates, de générateurs de mots de « passe-partout » Bios. Cette fois, impossible de botter en touche, le responsable de cette défaillance doit intervenir. Après une insistance conséquente, Dell finit par répondre à Jeremy Verrier que le risque est jugé faible et lui propose de le dédommager des licences. « J’ai refusé. Ce que je veux c’est une solution, pas de l’argent ! Le problème n’est pas là… », assène-t-il. La conscience du responsable informatique, voyant le constructeur passif, le pousse à réagir : « Même s’ils ont corrigé le problème pour les nouvelles générations de portables [NDLR : changement de la procédure d'inscription du numéro de série], la faille reste présente à mon niveau, tout comme pour l’ensemble des possesseurs de modèles Latitude D520, D530, E4300, E5400 et Précision. »
Constructeur : Dell
Faille constatée : l'utilitaire svctag.exe, destiné à modifier le numéro de série de la carte mère dans le bios, désactive l'agent Computrace (conçu par Absolute Software) voué à protéger à distance les machines volées.
Machines concernées : modèles Latitude D520, D530, E4300, E5400 et Précision.
envoyer
par mail
par mail
imprimer
l'article
l'article
Actu précédente
Dell made in usa
de
marc_mdx
, posté le 17 décembre 2010 à 19h33
Bien fait pour la SNCF ; z'avait qu'à acheter du matériel Européen. Les services Dell sont très mauvais ainsi que le svc commercial (qui est au Maroc d'ailleurs. Les administrations ne devraient pas avoir le droit d'acheter en dehors de l'Europe. Encore une fois, bien fait !!!
alerter le modérateur
lol
de
BeWog
, posté le 18 décembre 2010 à 23h02
Tout est dans le titre.
Sinon, ils existent des constructeurs de PC européens ?
Sinon, ils existent des constructeurs de PC européens ?
alerter le modérateur
Le grand YAKA
de
monasse
, posté le 21 décembre 2010 à 08h49
Citez moi un constructeur Europeen... Allez imaginons que vous en trouviez un qui ait l'envergure pour assumer des clients autant TPE, PME, que grand compte... (c'est beau le reve) Tous les composants necessaires pour faire un pc sont asiatiques. Alors quoi... quel en serait la difference au final?
On parle là d'une faille de sécurité qui est logicielle. Et l'erreur etant humaine, je ne vois pas en quoi la nationnalité du fabricant aurait put etre le garant de la perfection.
Donc tres cher Marc_mdx, avant de faire un tel acte de patriotisme, un peu de reflexion ne nuit pas... surtout venant d'un "cerveau francais" c'est avec de tel propos que les Francais passent pour des grincheux invétérés.
Autre erreur, dans votre réaction : Le service commercial de Dell pour les entreprises est à Montpellier (34).
Sur ces belles parolles, qui ne resolvent en rien ce facheux bug...
On parle là d'une faille de sécurité qui est logicielle. Et l'erreur etant humaine, je ne vois pas en quoi la nationnalité du fabricant aurait put etre le garant de la perfection.
Donc tres cher Marc_mdx, avant de faire un tel acte de patriotisme, un peu de reflexion ne nuit pas... surtout venant d'un "cerveau francais" c'est avec de tel propos que les Francais passent pour des grincheux invétérés.
Autre erreur, dans votre réaction : Le service commercial de Dell pour les entreprises est à Montpellier (34).
Sur ces belles parolles, qui ne resolvent en rien ce facheux bug...
alerter le modérateur
statut SNCF
de
B44
, posté le 04 janvier 2011 à 09h25
C'est étrange, mais quoi qu'en pense enocre de trop nombreuses personnes, la SNCF n'a jamais été une administration.
Depuis les années 80 c'est un établissement public, mais le groupe SNCF regroupe maintenant une multitude de filiales privées, et si l'état lui assigne (encore) des missions de services public, tout un chacun peut se rendre compte que le but d'une entreprise c'est de faire des bénéfices.
Depuis les années 80 c'est un établissement public, mais le groupe SNCF regroupe maintenant une multitude de filiales privées, et si l'état lui assigne (encore) des missions de services public, tout un chacun peut se rendre compte que le but d'une entreprise c'est de faire des bénéfices.
alerter le modérateur
tout le monde la connais
de
Corleone57
, posté le 20 décembre 2010 à 12h29
une des meilleures sécu c'est l'ignorance, maintenant que c'est sorti, la petite astuce pour changer le serial DELL,yzonpluka corriger :-)
alerter le modérateur
Le yaka est possible
de
alex32
, posté le 29 décembre 2010 à 10h32
Monasse pour votre gouverne il existe des constructeurs européens très compétents et adressant essentiellement les entreprises, toutes tailles confondues (ex Wortman AG).Mais il est vrai que ceux-ci ne sont généralement connus que des VRAIS professionnels et non du grand public. Avec comme principal atout de passer exclusivement par des circuits de reventes indirects faisant appels à de vrais professionnels autant pour la vente que le SAV. En clair quand vous avez un problème c'est un spécialiste de la marque qui se déplace chez vous et non un organisme sous traité...
En outre, contrairement à Dell, qui en son temps d'ailleurs a su montrer ses compétences en vendant des millions de machines connues pour être défectueuses en toute connaissance de cause (ils ont d'ailleurs été condamnés pour cela), certaines autres marques font de la qualité de leur produit leur fer de lance. Alors en parlant d'ignorance veuillez donc vous renseigner plutôt que de sortir des anneries plus grosses que Dell lui même.
Concernant le problème soulevé dans cet article il reflète bien malheureusement le manque de sérieux de cette société face à ses clients. Son principal intérêt étant au passage de vendre et ce au plus grand nombre. Dans le cas contraire ils n'auraient pas décidé de vendre à travers les canaux de grandes distributions et de faire les yeux doux en période de crise aux revendeurs locaux qu'ils ont historiquement toujours ignorés voire dénigrés.
Le fait d'avoir les moyens et l'envie comme Dell de faire du marketting à outrance ne signifie pas que vous êtes un bon constructeur mais simplement un bon commerçant...
À bon entendeur.
Bonne journée.
En outre, contrairement à Dell, qui en son temps d'ailleurs a su montrer ses compétences en vendant des millions de machines connues pour être défectueuses en toute connaissance de cause (ils ont d'ailleurs été condamnés pour cela), certaines autres marques font de la qualité de leur produit leur fer de lance. Alors en parlant d'ignorance veuillez donc vous renseigner plutôt que de sortir des anneries plus grosses que Dell lui même.
Concernant le problème soulevé dans cet article il reflète bien malheureusement le manque de sérieux de cette société face à ses clients. Son principal intérêt étant au passage de vendre et ce au plus grand nombre. Dans le cas contraire ils n'auraient pas décidé de vendre à travers les canaux de grandes distributions et de faire les yeux doux en période de crise aux revendeurs locaux qu'ils ont historiquement toujours ignorés voire dénigrés.
Le fait d'avoir les moyens et l'envie comme Dell de faire du marketting à outrance ne signifie pas que vous êtes un bon constructeur mais simplement un bon commerçant...
À bon entendeur.
Bonne journée.
alerter le modérateur
à lire aussi
SUR LES MÊMES THÈMES 
