Dell a vendu des cartes mères infectées par un spyware
La présence de malwares dans le hardware vous choque-t-elle ?

Le , par Katleen Erna, Expert éminent sénior
Dell a vendu des cartes mères infectées par un spyware, la présence de malwares dans le hardware vous choque-t-elle ?

Dell a prévenu ses consommateurs (par lettres et par téléphone) : il y a des malwares sur certaines de ses cartes mère réseau.

Les serveurs PowerEdge R310, R410, R510 et T410 seraient concernés, et auraient été livrés avec un spyware intégré dans le firmware de gestion des systèmes intégrés de leurs cartes mères.

Ces programmes indésirables pourraient de plus se transmettre à d'autres machines pour peu que le serveur infecté soit attaché à un réseau.

Dell a toutefois précisé que les serveurs non-Windows n'y étaient pas vulnérables car le malware ne peut pas les infecter ; et a de plus indiqué que le problème ne concerne "qu'un petit stock de cartes mères". Les clients atteints sont prévenus par téléphone, comme le précise le constructeur dans un communiqué de presse :

"Dell est au courant du problème et contacte tous les consommateurs qui en sont affectés. Il concerne un nombre limité de cartes mères de remplacement sur quatre serveurs (PowerEdge R310, PowerEdge R410, PowerEdge R510 et PowerEdge T410) et peut potentiellement se manifester uniquement sous une configuration spécifique et en l'absence de l'utilisation d'un anti-virus à jour.

Le problème n'affecte pas nos systèmes en sortie d'usine, mais seulement à des parties remplacées. Dell a supprimé toutes les cartes mères concernées de ses services de montage et les envois actuels sont faits sur un stock qui ne contient pas le malware."

Dell conseille également de consulter les forums de sa communauté pour plus d'informations. On peut ainsi y apprendre que le spyware était situé dans le stockage flash des cartes mères, et non pas dans le firmware comme cela avait été suggèré au départ.

Plus de détails également sur la nature du malware : il s'agit d'un vers W32.Spybot (détectable par n'importe quel anti-virus digne de ce nom).

Enfin, les systèmes utilisant des cartes de type iDRAC Express ou iDRAC Enterprise ne seront pas atteints. Seuls seraient concernés les systèmes utilisant une mise à jour de USC (Unified Server Configurator) ou de 32-bit Diagnostics.

Source : Communiqué de presse de Dell

Lire aussi :
Dell à volontairement vendu des millions de PCs défectueux

Dell minimise l'importance du problème en expliquant que "seulement 1%" des cartes expédiées étaient infectées. Trouvez-vous ce chiffre acceptable, ou est-ce un scandale pour vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de cs_ntd cs_ntd - Membre éprouvé http://www.developpez.com
le 26/07/2010 à 12:09
Si on suppose que c'est pas Dell qui, volontairement, a mis un malware sur ces cartes, on peut aussi se demander qui a bien pu faire ça

Ya une taupe chez Dell qui bosse pour la concurrence
Avatar de Loceka Loceka - Expert confirmé http://www.developpez.com
le 26/07/2010 à 14:23
Ce serait étonnant que "Dell" soit à la base de ça.
Ca doit juste être un employé malveillant qui a fait ça.
Avatar de GanYoshi GanYoshi - Membre chevronné http://www.developpez.com
le 26/07/2010 à 14:29
Déjà ça concerne que très peu de serveurs.
Ensuite je suppose que parmi ces serveurs, l'écrasante majorité aura un linux dessus, donc ne sera pas concernée.

Pour les autres, je n'imagine pas un serveur sous windows sans un bon anti-virus.

Au final, très peu de conséquences, juste ça ternie encore plus l'image de Dell.
Avatar de dams78 dams78 - Membre chevronné http://www.developpez.com
le 26/07/2010 à 14:37
Plus j'y pense et plus je me dis que c'est hallucinant comme situation, si au lieu d'un bête spyware ça avait été un truc un peu plus costaud et "indétectable" les conséquences peuvent être énorme.

Et si c'est vraiment un seul employé qui a fait ça, ils devraient peut être revoir leur façon de faire...
Avatar de FailMan FailMan - Membre expert http://www.developpez.com
le 26/07/2010 à 14:49
Citation Envoyé par kmaniche  Voir le message
+1

Mais comment le supprimer ?

Mise à jour du bios ou du firmware, sans doute
Avatar de kaymak kaymak - Membre chevronné http://www.developpez.com
le 26/07/2010 à 16:12
Citation Envoyé par GanYoshi  Voir le message
Déjà ça concerne que très peu de serveurs.
Ensuite je suppose que parmi ces serveurs, l'écrasante majorité aura un linux dessus, donc ne sera pas concernée.

Pour les autres, je n'imagine pas un serveur sous windows sans un bon anti-virus.

Au final, très peu de conséquences, juste ça ternie encore plus l'image de Dell.

Le problème c'est que par différentes nécessités les éditeurs d'anti virus nettoient les bases d'empreintes qu'ils utilisent et fournissent à leurs clients.
Et que donc un vieux virus pourrait réapparaitre demain sans que les anti virus n'ait pu agir, puisque sa signature aura était effacée.

Hors dans ce contexte, où le virus est disponible en mémoire très tôt, il n'y a pas nécessairement besoin d'une faille pour attaquer le système.
le virus pourrait donc rester furtif assez longtemps pour se faire oublier et agir le moment venu.
Pire encore, il pourrait avoir était édité spécialement à cette fin, sans autres utilisation. Dans ce cas là les anti virus seraient simplement incapable d'agir.

Donc l'anti virus oui. Mais à termes il faudra trouver de vrai solution, celle-ci n'est pas une panacée.
Surtout avec des systèmes d'exploitations à la durée de vie de plus en plus en longue et à la multiplication des supports.
Aujourd'hui nous ne parlons que des ordinateurs, et un petit peu des smartphones, demain l'industrie prévoit d'équipé tout un tas d'équipements électroménager, d'où l'ipv6.
On pourrait fort bien imaginer une attaque dos à base de BOX internet ou de télé dès lors que celle-ci est capable d'envoyer / recevoir un flux ip. Et là il y aurait bien plus de zombies que tout ce que l'on connait aujourd'hui sur les pcs.

Le problème de dell est grave, mais ce type de problème apparait régulièrement (cd infecté, clés usb etc) et peut se cacher là où on ne l'imagine pas, un compilateur par exemple.... Pour l'heure aucune conséquence grave n'est à relever, mais l'industrie devrait y faire attention.
Sinon sa va finir comme bp, la valeur des actions dans les chaussettes, et encore que ce n'est pas la conséquence la plus grave.

Ce qui est terrible dans cette histoire c'est que même sans anti virus un simple contrôle d'intégrité du software par comparaison de somme aurait pu soulever le problème avant la livraison des éléments infectés, enfin c'est ce que je me dis.
Avatar de 10_GOTO_10 10_GOTO_10 - Membre éprouvé http://www.developpez.com
le 27/07/2010 à 13:48
Citation Envoyé par kaymak  Voir le message
Ce qui est terrible dans cette histoire c'est que même sans anti virus un simple contrôle d'intégrité du software par comparaison de somme aurait pu soulever le problème avant la livraison des éléments infectés, enfin c'est ce que je me dit.

C'est très certainement fait. Mais si un CRC détecte facilement une erreur de copie, par exemple, c'est inefficace contre une action malveillante: celui qui a copié le virus s'est très certainement débrouillé pour avoir le même CRC (et c'est très facile, un CRC n'est pas un hash, qui serait lui plus dur à contrefaire).
Avatar de cs_ntd cs_ntd - Membre éprouvé http://www.developpez.com
le 27/07/2010 à 14:02
Un CRC est un hash hein... C'est la technique de calcul du CRC qui le rend plus facile à corrompre que d'autres. Un hash est tout ce qui permet de réduire des données à un ensemble plus petit, qui fait office d'empreinte.
Avatar de dams78 dams78 - Membre chevronné http://www.developpez.com
le 27/07/2010 à 14:08
J'ai toujours du mal à comprendre comment cela peut arrivé.
Il doit quand même falloir montrer patte blanche pour avoir accès aux chaînes de montage, enfin j'imagine.
Avatar de grafikm_fr grafikm_fr - Expert confirmé http://www.developpez.com
le 27/07/2010 à 14:11
Citation Envoyé par dams78  Voir le message
J'ai toujours du mal à comprendre comment cela peut arrivé.
Il doit quand même falloir montrer patte blanche pour avoir accès aux chaînes de montage, enfin j'imagine.

Une des pistes auxquelles j'ai pensé c'est s'ils font du test aléatoire de cartes en les branchant, à ce moment là tu peux potentiellement modifier le firmware.

Mais bon après je connais pas les process de Dell, vu qu'ils sont en effet un peu confidentiels...
Avatar de kedare kedare - Membre extrêmement actif http://www.developpez.com
le 28/07/2010 à 17:09
C'est tout simplement le BMC qui a été infecté, pour ceux qui savent pas, c'est une sorte de mini ordinateur dans un serveur avec son propre port Ethernet, son propre processeur, sa propre RAM, son propre espace de stockage (parfois une SD Card), et il a pour but de pouvoir surveiller les dizaines/centaines de sondes qu'on peut trouver sur les serveurs, et ca permet la prise en main a distance comme si on était devant (via un applet java généralement, la sortie VGA est retransmise ainsi que le clavier/souris)

http://en.wikipedia.org/wiki/Baseboa...ent_controller
http://en.wikipedia.org/wiki/Intelli...ment_Interface
Offres d'emploi IT
Analyste support informatique (h/f)
CTS Consulting - Ile de France - Élancourt (78990)
Programmeurs/développeurs iOS H/F
Peace - Autre - Osaka
Ingénieur sécurité infrastructures (H/F)
Atos - Ile de France - Les Clayes-sous-Bois (78340)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil