Dans la longue lignée des accessoires USB plus ou moins utiles – on se souvient notamment des ventilateurs ou des plaques pour garder sa tasse de café au chaud – Energizer avait a priori eu une bonne idée. Son chargeur de batteries Duo USB est pratique, facile à transporter et permet de ne jamais être à court de piles en bon état. Le tout accompagné d'un petit soft pour tout ordinateur équipé de Windows.
Et c'est justement ce widget qui est au centre de l'attention. US-CERT, un service du ministère américain de la Sécurité intérieure, vient de découvrir un cheval de Troie dans le logiciel d'Energizer. Arucer.dll, le fichier incriminé, permet d'accéder à distance à l'ensemble du système touché. Avec au final la possibilité pour n'importe qui d'explorer les dossiers, d'envoyer et de recevoir les fichiers de l'ordinateur, ou de lancer des programmes.
Solutions pour le US-CERT (en anglais) : supprimer Arucer.dll, bloquer l'accès réseau par le port 7777, ou annuler l'exception de sécurité du pare-feu Windows pour les DLL. L'utilisation du chargeur USB risque d'en être un peu gênée, et le lapin vérolé en prend déjà pour son grade. Depuis hier soir, les réseaux sociaux comme Twitter et Facebook sont assaillis par les commentaires alarmés ou moqueurs. Energizer a immédiatement retiré son produit de la vente, et dit « travailler avec le CERT et le gouvernement américain pour déterminer comment le code incriminé a pu être inséré dans le logiciel ».
Publicité
( les afficher maintenant )