Passer au contenu

Des millions d’ordinateurs Dell touchés par des failles de sécurité importantes

Près de 130 modèles d’ordinateurs de Dell peuvent être ciblés par une attaque qui permettraient à des pirates de subvertir le système d’exploitation de ces machines et d’en contrôler les systèmes de sécurité. Ce sont des millions d’utilisateurs qui pourraient en être victimes.

Les chercheurs en sécurité d’Eclypsium ont cette semaine tiré la sonnette d’alarme. Un ensemble de failles dans la fonction BIOSConnect de Dell SupportAssist, un module généralement installé dans les ordinateurs de bureau, les portables et les tablettes de Dell, peut donner à des pirates l’opportunité de contrôler le processus de démarrage de ces PC et leur donner toute latitude pour contrôler les niveaux de sécurité les plus élevés.

Les correctifs sont disponibles

Dell SupportAssist gère tout ce qui est récupération du système et le dépannage, globalement les fonctions d’assistance. BIOSConnect est un élément de ce logiciel, il sert à mettre à jour le firmware de l’ordinateur et pour récupérer la version du système d’exploitation du PC. Deux éléments qui ne vont pas l’un sans l’autre, et qui sont habituellement présents sur les machines Dell équipées de Windows.

Ces deux composants communiquent via le nuage du constructeur américain. Les chercheurs d’Eclypsium ont mis le doigt sur quatre vulnérabilités qui, exploitées ensemble, donnent le moyen d’exécuter du code arbitraire dans le BIOS des PC concernés. Autant dire que c’est une faille grave, elle est d’ailleurs notée 8,3 sur l’échelle Common Vulnerability Scoring System (CVSS).

Et ce n’est pas tout : trois vulnérabilités supplémentaires ont aussi été trouvées par Eclypsium. Deux d’entre elles touchent la récupération du système d’exploitation, la dernière frappe le système de mise à jour du firmware. Dell a rapidement réagi en publiant des correctifs pour le BIOS/UEFI des PC qui pourraient être victimes de ces attaques. Ces mises à jour sont disponibles depuis le 24 juin.

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

Mode