Sennheiser, des casques susceptibles d'être une porte d'entrée pour un trojan

Par
Le 30 novembre 2018
 0
casque audio sennheiser

Présenté comme ça, on dirait un mauvais slogan, mais la menace est réelle. Un logiciel conçu par le constructeur allemand Sennheiser, pour l'utilisation de ses casques, fait l'objet d'une importante faille de sécurité. De nombreux utilisateurs pourraient être concernés.

Le logiciel HeadSetup a été développé par Sennheiser pour offrir la possibilité aux utilisateurs de ses casques audio de passer des appels téléphoniques via Internet. Problème : l'application pourrait également permettre à des personnes malveillantes d'attaquer les ordinateurs sur lesquels elle est installée.

Un certificat en cause

La faille de sécurité a été dévoilée par l'entreprise allemande Secorvo, spécialisée en cybersécurité. Le souci vient de l'installation d'un certificat racine par HeadSetup, parmi les certificats de confiance de la machine. À cela s'ajoutent deux erreurs : premièrement, la clé de déchiffrement est la même pour chaque installation du logiciel. Et surtout deuxièmement, d'après la société de cybersécurité, il est très facile d'y avoir accès.

En conséquence, un hacker peut très bien récupérer ces données et s'en servir pour créer de faux certificats de confiance, se faisant alors passer pour n'importe quel site. Il pourrait alors procéder à une attaque de type « man-in-the-middle », pour par exemple intercepter et modifier le trafic Internet de la victime (et donc les données associées).

Et le deuxième « effet Kiss Cool », c'est que le certificat installé par HeadSetup demeure sur l'ordinateur, même après désinstallation du logiciel. Ce qui laisser penser à Secorvo que tout système sur lequel HeadSetup a été installé un jour reste vulnérable. Et ce, jusqu'à l'expiration du certificat, le 13 janvier... 2027.

Mise en place d'un correctif temporaire

Cette faille n'est pas sans rappeler le bug Superfish, qui touchait des machines de la marque Lenovo. En 2015, des ordinateurs portables avaient été vendus avec des logiciels préinstallés, contenant des certificats de sécurité vulnérables.

Du côté de Sennheiser, on a pris conscience de la situation. L'entreprise a déclaré travailler sur une correction de la vulnérabilité, mais ce travail pourrait prendre un certain temps. En attendant, le site du fabricant propose un correctif temporaire, permettant de supprimer les certificats incriminés.

Source : Digital Trends
Modifié le 30/11/2018 à 11h35
scroll top