Cependant, l’EFF apprécie moins la façon dont Google délivre ces services. Le groupe de défense affirme que le moteur de recherche enregistre tout ce que font les élèves quand ils sont connectés à leur compte Google, quel que soit l'appareil ou le navigateur utilisé, qu’il scrute leur historique de recherche, les résultats de recherche sur lesquels ils cliquent et les vidéos qu'ils regardent sur YouTube. L'EFF explique que Google agrège et anonymise les données recueillies par les services purement éducatifs, mais pas quand les élèves utilisent d'autres services de Google. De son côté, Google fait valoir que l'anonymisation des données est « difficile, voire impossible », surtout quand la collecte est réalisée sur des comptes identifiables. Les pratiques de Google « vont à l'encontre des engagements pris au moment de la signature du Student Privacy Pledge », a déclaré l’EFF. Deux cents entreprises, dont Google, Microsoft et Apple, ont signé ce document pour s’engager à respecter la vie privée des étudiants.
En vertu de cet accord, l'Electronic Frontier Foundation estime que la collecte de données par Google auprès des élèves est assimilable à une pratique commerciale déloyale ou trompeuse. L’EFF veut que la FTC fasse une enquête et oblige Google à détruire les données recueillies. Elle veut aussi que le géant de la recherche cesse tout type de collecte sur les étudiants. Google, qui a refusé de discuter les détails de la requête de l’EFF, a publié le communiqué suivant : « Nos services permettent aux étudiants du monde entier d’apprendre et de protéger leurs informations privées et sécurisées. Nous sommes sensibles à l’intérêt que porte l’EFF à la vie privée des élèves, mais nous sommes convaincus que nos outils respectent la loi et nos engagements, y compris ceux du Student Privacy Pledge ».
Il semble que l’EFF a déjà obtenu gain de cause sur un point au moins : le groupe de défense contestait le fait que, dans le navigateur Chrome, la fonctionnalité Chrome Sync soit activée par défaut sur les Chromebooks et partage des données entre les différents services de Google. Or Google a annoncé que le paramètre serait bientôt désactivé dans les Chromebooks vendus aux écoles. « C’est un petit pas dans la bonne direction, mais cette disposition ne va pas assez loin et elle ne met pas fin aux violations du Student Privacy Pledge par les Chromebooks distribués actuellement au monde de l’éducation », a commenté l'Electronic Frontier Foundation.Selon un contributeur de Reddit, le certificat émanant d'une autorité de confiance installé en root sur certains ordinateurs portables de Dell serait similaire à l'adware Superfish présent sur les machines Lenovo, lequel expose les utilisateurs à des attaques dites man-in-the-middle.
Appelé eDellRoot, le certificat émis par un tiers de confiance du même nom fait partie des éléments préchargés en standard sur les dernières machines de Dell. Selon un contributeur de Reddit, qui porte le pseudonyme rotocowboy, ce certificat pourrait avoir des conséquences désastreuses. « Pour ceux qui ne savent pas comment ça fonctionne, un attaquant peut utiliser cette autorité de certification pour signer ses propres faux certificats et les utiliser sur des sites réels. Tout se passe à l’insu de l’utilisateur sauf s’il lui vient à l’esprit de vérifier la chaîne de certificats du site. Ce CA pourrait également être utilisé pour signer un code destiné à tourner sur les machines, mais je n'ai pas encore exploré cette hypothèse », a-t-il écrit.
Selon le programmeur Joe Nord, qui possède également un ordinateur Dell, « le certificat eDellRoot est très ouvert, ce qui signifie que ses privilèges sont plus étendus que ceux d'un certificat DigiCert », également installé sur sa machine. « J’ai absolument besoin de savoir si je peux faire confiance au certificat installé en root sur mon ordinateur Dell », a-t-il écrit sur son blog. Le constructeur n'a pas encore répondu à une demande d'explication sur eDellRoot. Il ne dit pas non plus s’il y a lieu de s’inquiéter à ce sujet. Néanmoins, DellCares, qui a répondu à rotocowboy via son compte Twitter, promet d’étudier la question. « Nous comprenons votre situation. Nous allons demander à nos équipes produits de nous expliquer la raison de la présence de eDellroot sur votre machine », dit le tweet. On ne sait pas si le CA a été installé par Dell ou par un partenaire autorisé à préinstaller le logiciel sur la machine ou s’il a été introduit par un attaquant qui aurait infiltré la ligne de production de Dell.
Dans son message, Joe Nord a inclus une capture d'écran dans laquelle on peut lire la description du certificat : « Vous disposez d’une clé privée associée à ce certificat ». Sauf que, selon le programmeur, un ordinateur ne devrait jamais héberger la clé privée qui correspond à une autorité de certification root. « Seul l’ordinateur d’où émane le certificat peut héberger une clé privée et cet ordinateur doit être… très bien protégé ! » Selon Joe Nord, il est impossible de dire si c’est le constructeur qui a installé lui-même ce certificat. « Les certificats root sont toujours auto-signés, donc tout ce que l’on peut savoir c’est que eDellRoot dit que eDellRoot est légitime », explique-t-il. « Ce qui pose problème, c’est que la clé privée est présente sur mon ordinateur. Et cela est tout à fait anormal et inquiétant ».
Joe Nord et rotocowboy craignent tous deux que eDellRoot ne ressemble à l'adware Superfish découvert sur les ordinateurs Lenovo plus tôt cette année. Superfish créait un proxy pour les connexions HTTPS entre les sites Web et les ordinateurs des utilisateurs, ce qui permettait d’insérer des données dans chaque page téléchargée par la machine. De plus, Superfish utilisait le même certificat sur toutes les machines Lenovo et la clé privée pour le certificat était facile à récupérer. Dans un message posté sur Twitter, Mikko Hypponen, le directeur de la recherche de F-Secure, a également établi un lien entre Superfish et eDellRoot. Il fait aussi remarquer que « Dell a créé son certificat #eDellRoot six mois après le scandale Superfish de Lenovo ». Ajoutant : « Ils n’ont tiré aucune leçon de cet événement ».
Dell a inclus, sur certaines de ses derniers PC portables, deux certificats numériques qui devaient faciliter le support technique, et transmettre par exemple au constructeur des informations sur les produits utilisés par le client. Ces clés de chiffrement privées ont été installées dans la racine de Windows. Or, comme l’ont expliqué les experts en sécurité alertés, les clés privées des deux certificats numériques, nommés respectivement eDellRoot et DSDTestProvider, peuvent être utilisés par des attaquants pour signer des logiciels malveillants, créer des sites Web frauduleux et mener des attaques man-in-the-middle pour espionner les données utilisateur.
Le danger représenté par DSDTestProvider est vraisemblablement plus limité, dans la mesure où ce certificat doit être téléchargé par les utilisateurs. De plus, comme l’a précisé Dell, la version à risque n’est plus disponible depuis le 24 novembre. Par contre, le certificat eDellRoot est beaucoup moins anodin. D’une part, il est installé par défaut sur plusieurs nouvelles machines de bureau et ordinateurs portables de Dell. De plus, certains ordinateurs plus anciens sur lequel tournait l'outil de support Dell Foundation Services (DFS), peuvent avoir été affectés si l’utilisateur a opté pour la mise à jour automatique. En effet, le certificat douteux a été inclus avec une mise à jour de DFS livrée au mois d’août.
Mardi, Dell a publié des mises à jour qui suppriment les certificats. Le constructeur a également diffusé un avis expliquant comment effectuer cette suppression manuellement. De son coté, Microsoft a poussé des mises à jour qui modifient Windows Defender pour Windows 10 et Windows 8.1, Microsoft Security Essentials pour Windows 7 et Windows Vista, Safety Scanner et l'outil Malicious Software Removal. Ces outils vont permettre, à ceux qui, pour une raison ou pour une autre, n’ont pas téléchargé ou reçu les mises à jour de Dell, de supprimer les certificats douteux. Mardi également, Symantec a signalé qu'il avait repéré des échantillons de logiciels malveillants indexés par VirusTotal, numériquement signés avec le certificat eDellRoot. Le malware en question permettrait de contourner certaines défenses de sécurité.
Dans l'attente de la mise en oeuvre du Safe Harbor 2.0, la rédaction a cette semaine fait le point sur les points clés à retenir concernant le transfert de données en dehors des pays européens. L'actualité a été marquée en particulier par une faille de sécurité dans les PC Dell ayant amené Microsoft a supprimer à son tour les certificats numériques douteux du constructeur. Un mois après son lancement, un test complet de l'iPad Pro vous a aussi été proposé.Recap IT : 5 clés pour comprendre le transfert des données hors d'Europe, Certificats de sécurité douteux chez Dell, Test Apple iPad Pro
5 choses à savoir sur le transfert de données hors d'Europe. Le 6 octobre dernier, la Cour de Justice de l'Union européenne a invalidé l'accord Safe Harbor qui encadrait depuis 2000 le transfert des données personnelles des citoyens européens vers les États-Unis. Pour autant, les transferts de données hors d'Europe ne sont pas interrompus. Voici ce qu'il faut savoir à ce sujet.
eDellRoot : Dell admet et corrige une faille de sécurité dans ses PC. Suite à l'affaire eDellRoot, Dell admet une faille de sécurité sur ses PC portables et propose un patch. Le certificat doit être retiré et le texan explique comment le faire à tout ceux qui ne veulent pas utiliser le correctif. Dans la foulée, Microsoft a supprimé à son tour les certificats numériques douteux de Dell.Test Apple iPad Pro. Une bonne tablette mais pas pour tout le monde. Au départ, notre consoeur de Macworld voulait tenter l'expérience suivante : se servir d'un iPad Pro à la place de son ordinateur pendant une semaine. Mais au bout d'une journée, elle a dû se rendre à l'évidence et renoncer à son projet : elle ne pouvait pas faire avec l'iPad Pro ce qu'elle faisait avec son MacBook Air. L'iPad Pro ne remplacera donc ni son Mac, ni son iPhone. Mais ce n'est pas grave : la dernière tablette d'Apple n'a pas vocation à remplacer l'un ou l'autre.(cliquez ici pour suivre le lien)