{"id":480766,"date":"2022-11-25T11:12:24","date_gmt":"2022-11-25T13:12:24","guid":{"rendered":"https:\/\/teknomers.com\/fr\/peripheriques-dell-hp-et-lenovo-trouves-a-laide-de-versions-obsoletes-dopenssl\/"},"modified":"2022-11-25T11:12:25","modified_gmt":"2022-11-25T13:12:25","slug":"peripheriques-dell-hp-et-lenovo-trouves-a-laide-de-versions-obsoletes-dopenssl","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/peripheriques-dell-hp-et-lenovo-trouves-a-laide-de-versions-obsoletes-dopenssl\/","title":{"rendered":"P\u00e9riph\u00e9riques Dell, HP et Lenovo trouv\u00e9s \u00e0 l&#8217;aide de versions obsol\u00e8tes d&#8217;OpenSSL"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Une analyse des images de micrologiciels sur les appareils de Dell, HP et Lenovo a r\u00e9v\u00e9l\u00e9 la pr\u00e9sence de versions obsol\u00e8tes de la biblioth\u00e8que cryptographique OpenSSL, soulignant un risque pour la cha\u00eene d&#8217;approvisionnement.<\/p>\n<p>Kit de d\u00e9veloppement EFI, alias <a rel=\"nofollow noopener\" href=\"https:\/\/www.tianocore.org\/\" target=\"_blank\">EDK<\/a>est une impl\u00e9mentation open source de l&#8217;interface micrologicielle extensible unifi\u00e9e (<a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/UEFI\" target=\"_blank\">UEFI<\/a>), qui fonctionne comme une interface entre le syst\u00e8me d&#8217;exploitation et le micrologiciel int\u00e9gr\u00e9 au mat\u00e9riel de l&#8217;appareil.<\/p>\n<p>L&#8217;environnement de d\u00e9veloppement du micrologiciel, qui en est \u00e0 sa deuxi\u00e8me it\u00e9ration (EDK II), est livr\u00e9 avec son propre package cryptographique appel\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/tianocore\/edk2\/tree\/master\/CryptoPkg\" target=\"_blank\">CryptoPkg<\/a> qui, \u00e0 son tour, utilise les services du projet OpenSSL.<\/p>\n<p>Selon la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 du micrologiciel Binarly, l&#8217;image du micrologiciel associ\u00e9e aux appareils d&#8217;entreprise Lenovo Thinkpad utilisait trois versions diff\u00e9rentes d&#8217;OpenSSL\u00a0: 0.9.8zb, 1.0.0a et 1.0.2j, dont la derni\u00e8re a \u00e9t\u00e9 publi\u00e9e en 2018.<\/p>\n<p>De plus, l&#8217;un des modules de micrologiciel nomm\u00e9 InfineonTpmUpdateDxe s&#8217;appuyait sur la version 0.9.8zb d&#8217;OpenSSL qui a \u00e9t\u00e9 livr\u00e9e le 4 ao\u00fbt 2014.<\/p>\n<p>&#8220;Le module InfineonTpmUpdateDxe est responsable de la mise \u00e0 jour du firmware du Trusted Platform Module (<a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/security\/information-protection\/tpm\/trusted-platform-module-overview\" target=\"_blank\">MTP<\/a>) sur la puce Infineon,&#8221; Binarly <a rel=\"nofollow noopener\" href=\"https:\/\/www.binarly.io\/posts\/OpenSSL_Usage_in_UEFI_Firmware_Exposes_Weakness_in_SBOMs\" target=\"_blank\">expliqu\u00e9<\/a> dans un article technique la semaine derni\u00e8re.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" alt=\"Versions d'OpenSSL\" border=\"0\" data-original-height=\"449\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/1669381944_272_Peripheriques-Dell-HP-et-Lenovo-trouves-a-laide-de-versions.png\" title=\"Versions d'OpenSSL\"\/><\/div>\n<p>&#8220;Cela indique clairement le probl\u00e8me de la cha\u00eene d&#8217;approvisionnement avec les d\u00e9pendances tierces lorsqu&#8217;il semble que ces d\u00e9pendances n&#8217;ont jamais re\u00e7u de mise \u00e0 jour, m\u00eame pour des probl\u00e8mes de s\u00e9curit\u00e9 critiques.&#8221;<\/p>\n<p>Mis \u00e0 part la diversit\u00e9 des versions d&#8217;OpenSSL, certains des progiciels de Lenovo et Dell utilisaient une version encore plus ancienne (0.9.8l), sortie le 5 novembre 2009. Le code du micrologiciel de HP utilisait \u00e9galement une version vieille de 10 ans. de la biblioth\u00e8que (0.9.8w).<\/p>\n<p>Le fait que le micrologiciel de l&#8217;appareil utilise plusieurs versions d&#8217;OpenSSL dans le m\u00eame package binaire met en \u00e9vidence la fa\u00e7on dont les d\u00e9pendances de code tiers peuvent introduire plus de complexit\u00e9s dans l&#8217;\u00e9cosyst\u00e8me de la cha\u00eene d&#8217;approvisionnement.<\/p>\n<p>Binarly a en outre soulign\u00e9 les faiblesses de ce qu&#8217;on appelle une nomenclature logicielle (<a rel=\"nofollow noopener\" href=\"https:\/\/www.ntia.gov\/SBOM\" target=\"_blank\">SBOM<\/a>) qui r\u00e9sulte de l&#8217;int\u00e9gration de modules binaires compil\u00e9s (alias source ferm\u00e9e) dans le micrologiciel.<\/p>\n<p>&#8220;Nous voyons un besoin urgent d&#8217;une couche suppl\u00e9mentaire de validation SBOM en ce qui concerne le code compil\u00e9 pour valider au niveau binaire, la liste des informations de d\u00e9pendance tierces qui correspondent au SBOM r\u00e9el fourni par le fournisseur&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9.<\/p>\n<p>&#8220;Une approche &#8220;faire confiance mais v\u00e9rifier&#8221; est le meilleur moyen de g\u00e9rer les d\u00e9faillances de SBOM et de r\u00e9duire les risques de la cha\u00eene d&#8217;approvisionnement.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/11\/dell-hp-and-lenovo-devices-found-using.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Une analyse des images de micrologiciels sur les appareils de Dell, HP et Lenovo a r\u00e9v\u00e9l\u00e9 la pr\u00e9sence de versions obsol\u00e8tes de la biblioth\u00e8que cryptographique OpenSSL, soulignant un risque pour la cha\u00eene d&#8217;approvisionnement. Kit de d\u00e9veloppement EFI, alias EDKest une impl\u00e9mentation open source de l&#8217;interface micrologicielle extensible unifi\u00e9e (UEFI), qui fonctionne comme une interface entre [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":480767,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4168,4158,4165,4161,33362,127327,4157,4159,4171,4170,1151,52269,4167,4160,4163,4162,72018,5265,4172,4169,22779,11408,4166,4164],"class_list":["post-480766","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dell","tag-dopenssl","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-laide","tag-lenovo","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-obsoletes","tag-peripheriques","tag-securite-informatique","tag-securite-internet","tag-trouves","tag-versions","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/480766","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=480766"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/480766\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/480767"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=480766"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=480766"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=480766"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}