Sennheiser, des casques susceptibles d'être une porte d'entrée pour un trojan

30 novembre 2018 à 11h41
0
Casque audio Sennheiser

Présenté comme ça, on dirait un mauvais slogan, mais la menace est réelle. Un logiciel conçu par le constructeur allemand Sennheiser, pour l'utilisation de ses casques, fait l'objet d'une importante faille de sécurité. De nombreux utilisateurs pourraient être concernés.

Le logiciel HeadSetup a été développé par Sennheiser pour offrir la possibilité aux utilisateurs de ses casques audio de passer des appels téléphoniques via Internet. Problème : l'application pourrait également permettre à des personnes malveillantes d'attaquer les ordinateurs sur lesquels elle est installée.

Un certificat en cause

La faille de sécurité a été dévoilée par l'entreprise allemande Secorvo, spécialisée en cybersécurité. Le souci vient de l'installation d'un certificat racine par HeadSetup, parmi les certificats de confiance de la machine. À cela s'ajoutent deux erreurs : premièrement, la clé de déchiffrement est la même pour chaque installation du logiciel. Et surtout deuxièmement, d'après la société de cybersécurité, il est très facile d'y avoir accès.

En conséquence, un hacker peut très bien récupérer ces données et s'en servir pour créer de faux certificats de confiance, se faisant alors passer pour n'importe quel site. Il pourrait alors procéder à une attaque de type « man-in-the-middle », pour par exemple intercepter et modifier le trafic Internet de la victime (et donc les données associées).

Et le deuxième « effet Kiss Cool », c'est que le certificat installé par HeadSetup demeure sur l'ordinateur, même après désinstallation du logiciel. Ce qui laisser penser à Secorvo que tout système sur lequel HeadSetup a été installé un jour reste vulnérable. Et ce, jusqu'à l'expiration du certificat, le 13 janvier... 2027.

Mise en place d'un correctif temporaire

Cette faille n'est pas sans rappeler le bug Superfish, qui touchait des machines de la marque Lenovo. En 2015, des ordinateurs portables avaient été vendus avec des logiciels préinstallés, contenant des certificats de sécurité vulnérables.

Du côté de Sennheiser, on a pris conscience de la situation. L'entreprise a déclaré travailler sur une correction de la vulnérabilité, mais ce travail pourrait prendre un certain temps. En attendant, le site du fabricant propose un correctif temporaire, permettant de supprimer les certificats incriminés.

Source : Digital Trends
0
0
Partager l'article :

Les actualités récentes les plus commentées

Voiture électrique : combien coûte la recharge à domicile ? (MàJ Juillet 2020)
Tesla : le niveau 5 d'autonomie des véhicules, le plus élevé, serait bientôt atteint, d'après Elon Musk
En réponse à des accusations de harcèlement des têtes tombent chez Ubisoft
Bosch dévoile son vélo concept électrique et tout suspendu
L'administration Trump va bientôt se passer des entreprises qui utilisent des appareils Huawei
L'Union européenne mise sur le développement d'un hydrogène propre
Le réalisateur de God of War en faveur d'une hausse du prix des jeux sur PS5 et Xbox Series X
Far Cry 6 confirmé par Ubisoft, la présentation programmée au 12 juillet
Microsoft Flight Simulator sortira le 18 août sur PC
Après Apple, Samsung songe à ne plus fournir de chargeur avec ses smartphones

Discussions sur le même sujet

Notre charte communautaire

  • 1. Participez aux discussions
  • 2. Partagez vos connaissances
  • 3. Échangez vos idées
  • 4. Faites preuve de tolérance
  • 5. Restez courtois
  • 6. Publiez des messages utiles
  • 7. Soignez votre écriture
  • 8. Respectez le cadre légal
  • 9. Ne faites pas de promotion
  • 10. Ne plagiez pas
  • Consultez la charte
scroll top