Les failles de sécurité peuvent parfois se nicher dans des logiciels bien anodins. Penseriez-vous, par exemple, que l’interface web de contrôle d’un simple casque audio puisse être une cause de risque ? Sans doute pas, et pourtant ! Des chercheurs allemands ont déniché une vilaine vulnérabilité dans la gestion du certificat lié à l’interface de contrôle des casques Sennheiser Le logiciel créé par Sennheiser installe un certificat racine, ainsi qu’une clé privée, sur les ordinateurs des utilisateurs. Comme dans le cas de Superfish, le « AdWare » qu’installait Lenovo sur ses PC, cette clé, identique sur toutes les installations, peut être utilisée pour créer des certificats et imiter des sites Web et ainsi servir de vecteur d’attaque fort dangereux.

Les chercheurs expliquent : le SDK Sennheiser HeadSetup prend en charge l’utilisation d’un casque connecté localement via un navigateur, chargé à partir d’un site Web HTTPS. HeadSetup fonctionne en ouvrant un socket Web sécurisé (WSS) grâce auquel le casque est accessible à partir du navigateur. Selon Sennheiser, le navigateur doit pouvoir accéder à ce socket Web local via une connexion HTTPS sécurisée afin de contourner les restrictions CORS (Cross Origin Resource Sharing) mises en œuvre par les navigateurs. Le Kit de développement logiciel (SDK) HeadSetup nécessite donc un certificat de serveur TLS local, attribué à l’adresse IP de l’hôte localhost1 (127.0.0.1) et à la clé privée associée. Ces deux éléments, identiques sur toutes les machines, ne sont pas effacés après l’installation et constituent un vecteur d’attaque pour des malandrins.

La vulnérabilité affecte a priori les installations sous Windows, le cas des Mac n’est pas abordé par les chercheurs. Sennheiser, informé depuis des semaines du problème, promet un correctif dans les prochains jours, qui s’assurera de l’effacement du certificat et de la clef une fois l’installation effectuée.

AUCUN COMMENTAIRE

À vous la parole !

Fermer
*
*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.