Cinq failles de sécurité liées au pilote et firmware ControlVault3 viennent d’être découvertes par Cisco Talos. Celle-ci touche 100 PC de la marque Dell. Cette dernière n’a pas tardé à réagir en déployant une mise à jour de sécurité. Si vous possédez l’une des machines impactées, vous pouvez d’ores et déjà installer le patch. Dell équipe plusieurs de ses PC d’une carte fille faisant office de hub de sécurité. Cette dernière utilise ControlVault pour connecter des périphériques de sécurité, comme un lecteur d’empreinte, un lecteur de carte à puce ou encore un lecteur NFC. Cela permet de créer une banque de données rassemblant les mots de passe, les codes de sécurité et les données biométriques. Néanmoins, les équipes de Cisco Talos ont découvert 5 failles qui touchent le pilote et firmware ControlVault3. Dans les grandes lignes, un utilisateur qui n’a pas les droits d’administrateur peut manipuler les API associées afin d’exécuter un code sur le firmware en question. La conséquence directe, c’est qu’un pirate ayant un accès physique à la machine peut accéder aux données contenues dans le hub de sécurité et ainsi contourner l’identification. Par exemple, cela peut permettre de se connecter sans connaître le mot de passe ou de modifier la reconnaissance de l’empreinte digitale pour déverrouiller la machine avec une autre empreinte que celle enregistrée. La modification peut également servir de point d’entrée pour des attaques futures. Le bon côté, c’est que Dell a immédiatement réagi en publiant la liste des PC impactés et en permettant de télécharger un correctif. Il est vivement recommandé de d’ores et déjà appliquer la mise à jour, plutôt que d’attendre son installation future via une mise à jour automatique. De fait, si vous possédez l’un des PC listés ci-dessous, vous savez quoi faire. Dell Pro 13 Plus PB13250 Dell Pro 14 Plus PB14250 Dell Pro 16 Plus PB16250 Dell Pro Max 14 MC14250 Dell Pro Max 16 MC16250 Dell Pro Rugged 13 RA13250 Dell Pro Rugged 14 RB14250 Latitude 5300 Latitude 5300 2-in-1 Latitude 5310 Latitude 5310 2-in-1 Latitude 5320 Latitude 5330 Latitude 5340 Latitude 5350 Latitude 5400 Latitude 5401 Latitude 5410 Latitude 5411 Latitude 5420 Latitude 5421 Latitude 5430 Latitude 5430 Rugged Laptop Latitude 5431 Latitude 5440 Latitude 5450 Latitude 5500 Latitude 5501 Latitude 5510 Latitude 5511 Latitude 5520 Latitude 5521 Latitude 5530 Latitude 5531 Latitude 5540 Latitude 5550 Latitude 7030 Rugged Extreme Latitude 7200 2-In-1 Latitude 7210 2-in-1 Latitude 7220 Rugged Extreme Latitude 7230 Rugged Extreme Latitude 7300 Latitude 7310 Latitude 7320 Latitude 7320 Detachable Latitude 7330 Latitude 7330 Rugged Laptop Latitude 7340 Latitude 7350 Latitude 7350 Detachable Latitude 7400 Latitude 7400 2-In-1 Latitude 7410 Latitude 7420 Latitude 7430 Latitude 7440 Latitude 7450 Latitude 7520 Latitude 7530 Latitude 7640 Latitude 7650 Latitude 9330 Latitude 9410 Latitude 9420 Latitude 9430 Latitude 9440 2-in-1 Latitude 9450 Latitude 9510 2in1 Latitude 9520 Latitude Rugged 7220EX Precision 3470 Precision 3480 Precision 3490 Precision 3540 Precision 3541 Precision 3550 Precision 3551 Precision 3560 Precision 3561 Precision 3570 Precision 3571 Precision 3580 Precision 3581 Precision 3590 Precision 3591 Precision 5470 Precision 5480 Precision 5490 Precision 5680 Precision 5690 Precision 7540 Precision 7550 Precision 7560 Precision 7670 Precision 7680 Precision 7740 Precision 7750 Precision 7760 Precision 7770 Precision 7780