Sennheiser, des casques susceptibles d'être une porte d'entrée pour un trojan

Bastien Contreras
Publié le 30 novembre 2018 à 11h41
Casque audio Sennheiser

Présenté comme ça, on dirait un mauvais slogan, mais la menace est réelle. Un logiciel conçu par le constructeur allemand Sennheiser, pour l'utilisation de ses casques, fait l'objet d'une importante faille de sécurité. De nombreux utilisateurs pourraient être concernés.

Le logiciel HeadSetup a été développé par Sennheiser pour offrir la possibilité aux utilisateurs de ses casques audio de passer des appels téléphoniques via Internet. Problème : l'application pourrait également permettre à des personnes malveillantes d'attaquer les ordinateurs sur lesquels elle est installée.

Un certificat en cause

La faille de sécurité a été dévoilée par l'entreprise allemande Secorvo, spécialisée en cybersécurité. Le souci vient de l'installation d'un certificat racine par HeadSetup, parmi les certificats de confiance de la machine. À cela s'ajoutent deux erreurs : premièrement, la clé de déchiffrement est la même pour chaque installation du logiciel. Et surtout deuxièmement, d'après la société de cybersécurité, il est très facile d'y avoir accès.

En conséquence, un hacker peut très bien récupérer ces données et s'en servir pour créer de faux certificats de confiance, se faisant alors passer pour n'importe quel site. Il pourrait alors procéder à une attaque de type « man-in-the-middle », pour par exemple intercepter et modifier le trafic Internet de la victime (et donc les données associées).

Et le deuxième « effet Kiss Cool », c'est que le certificat installé par HeadSetup demeure sur l'ordinateur, même après désinstallation du logiciel. Ce qui laisser penser à Secorvo que tout système sur lequel HeadSetup a été installé un jour reste vulnérable. Et ce, jusqu'à l'expiration du certificat, le 13 janvier... 2027.

Mise en place d'un correctif temporaire

Cette faille n'est pas sans rappeler le bug Superfish, qui touchait des machines de la marque Lenovo. En 2015, des ordinateurs portables avaient été vendus avec des logiciels préinstallés, contenant des certificats de sécurité vulnérables.

Du côté de Sennheiser, on a pris conscience de la situation. L'entreprise a déclaré travailler sur une correction de la vulnérabilité, mais ce travail pourrait prendre un certain temps. En attendant, le site du fabricant propose un correctif temporaire, permettant de supprimer les certificats incriminés.

Source : Digital Trends
Bastien Contreras
Par Bastien Contreras

Ingénieur télécom reconverti en rédacteur web. J'écris sur les high tech, les jeux vidéo, l'innovation... J'ai d'ailleurs été responsable d'accélérateur de startups ! Mais je vous réserve aussi d'autres surprises, que vous pourrez découvrir à travers mes articles... Et je suis là aussi si vous voulez parler actu sportive, notamment foot. Pour ceux qui ne connaissent pas, c'est comme du FIFA, mais ça fait plus mal aux jambes.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles