Discussion :

[Katleen Erna]

Dell a vendu des cartes mères infectées par un spyware, la présence de malwares dans le hardware vous choque-t-elle ?

Dell a prévenu ses consommateurs (par lettres et par téléphone) : il y a des malwares sur certaines de ses cartes mère réseau.

Les serveurs PowerEdge R310, R410, R510 et T410 seraient concernés, et auraient été livrés avec un spyware intégré dans le firmware de gestion des systèmes intégrés de leurs cartes mères.

Ces programmes indésirables pourraient de plus se transmettre à d'autres machines pour peu que le serveur infecté soit attaché à un réseau.

Dell a toutefois précisé que les serveurs non-Windows n'y étaient pas vulnérables car le malware ne peut pas les infecter ; et a de plus indiqué que le problème ne concerne "qu'un petit stock de cartes mères". Les clients atteints sont prévenus par téléphone, comme le précise le constructeur dans un communiqué de presse :

"Dell est au courant du problème et contacte tous les consommateurs qui en sont affectés. Il concerne un nombre limité de cartes mères de remplacement sur quatre serveurs (PowerEdge R310, PowerEdge R410, PowerEdge R510 et PowerEdge T410) et peut potentiellement se manifester uniquement sous une configuration spécifique et en l'absence de l'utilisation d'un anti-virus à jour.

Le problème n'affecte pas nos systèmes en sortie d'usine, mais seulement à des parties remplacées. Dell a supprimé toutes les cartes mères concernées de ses services de montage et les envois actuels sont faits sur un stock qui ne contient pas le malware."

Dell conseille également de consulter les forums de sa communauté pour plus d'informations. On peut ainsi y apprendre que le spyware était situé dans le stockage flash des cartes mères, et non pas dans le firmware comme cela avait été suggèré au départ.

Plus de détails également sur la nature du malware : il s'agit d'un vers W32.Spybot (détectable par n'importe quel anti-virus digne de ce nom).

Enfin, les systèmes utilisant des cartes de type iDRAC Express ou iDRAC Enterprise ne seront pas atteints. Seuls seraient concernés les systèmes utilisant une mise à jour de USC (Unified Server Configurator) ou de 32-bit Diagnostics.

Source : Communiqué de presse de Dell

Lire aussi :
Dell à volontairement vendu des millions de PCs défectueux

Dell minimise l'importance du problème en expliquant que "seulement 1%" des cartes expédiées étaient infectées. Trouvez-vous ce chiffre acceptable, ou est-ce un scandale pour vous ?

[FailMan]

Personnellement cela ne me choque pas qu'il y ait des malwares dans le hardware. Y placer du code ne doit pas être impossible, vu qu'il y a quelques temps, AMD avait sorti des processeurs avec un pseudo-antivirus (si je me souviens bien).

Après que le hardware héberge du code malveillant cela ne me choque pas, il faut bien que certains se démarquent. De là à ce que ça se mette à toucher la carte mère de Monsieur-tout-le-monde, il y a de la marge, je pense.

[berceker united]

C'est un scandale à partir du moment ou il y un assembleur ou constructeur puisse vous fournir du matériel avec un virus et il est normal de se poser la question sur la gestion de la sécurité, surtout, si cela concerne un spyware détectable avec un simple antivirus.
Combien d'autres spyware plus costaud sont passés et qu'ils n'ont pas encore détectés ?

[dams78]

Ce qui est marrant c'est qu'il n'est pas précisé comment il est arrivé sur la mémoire flash...

[kmaniche]

Ce qui est marrant c'est qu'il n'est pas précisé comment il est arrivé sur la mémoire flash...

+1

Mais comment le supprimer ?

[cs_ntd]

Si on suppose que c'est pas Dell qui, volontairement, a mis un malware sur ces cartes, on peut aussi se demander qui a bien pu faire ça

Ya une taupe chez Dell qui bosse pour la concurrence

[Loceka]

Ce serait étonnant que "Dell" soit à la base de ça.
Ca doit juste être un employé malveillant qui a fait ça.

[GanYoshi]

Déjà ça concerne que très peu de serveurs.
Ensuite je suppose que parmi ces serveurs, l'écrasante majorité aura un linux dessus, donc ne sera pas concernée.

Pour les autres, je n'imagine pas un serveur sous windows sans un bon anti-virus.

Au final, très peu de conséquences, juste ça ternie encore plus l'image de Dell.

[dams78]

Plus j'y pense et plus je me dis que c'est hallucinant comme situation, si au lieu d'un bête spyware ça avait été un truc un peu plus costaud et "indétectable" les conséquences peuvent être énorme.

Et si c'est vraiment un seul employé qui a fait ça, ils devraient peut être revoir leur façon de faire...

[FailMan]

+1

Mais comment le supprimer ?

Mise à jour du bios ou du firmware, sans doute

[kaymak]

Déjà ça concerne que très peu de serveurs.
Ensuite je suppose que parmi ces serveurs, l'écrasante majorité aura un linux dessus, donc ne sera pas concernée.

Pour les autres, je n'imagine pas un serveur sous windows sans un bon anti-virus.

Au final, très peu de conséquences, juste ça ternie encore plus l'image de Dell.

Le problème c'est que par différentes nécessités les éditeurs d'anti virus nettoient les bases d'empreintes qu'ils utilisent et fournissent à leurs clients.
Et que donc un vieux virus pourrait réapparaitre demain sans que les anti virus n'ait pu agir, puisque sa signature aura était effacée.

Hors dans ce contexte, où le virus est disponible en mémoire très tôt, il n'y a pas nécessairement besoin d'une faille pour attaquer le système.
le virus pourrait donc rester furtif assez longtemps pour se faire oublier et agir le moment venu.
Pire encore, il pourrait avoir était édité spécialement à cette fin, sans autres utilisation. Dans ce cas là les anti virus seraient simplement incapable d'agir.

Donc l'anti virus oui. Mais à termes il faudra trouver de vrai solution, celle-ci n'est pas une panacée.
Surtout avec des systèmes d'exploitations à la durée de vie de plus en plus en longue et à la multiplication des supports.
Aujourd'hui nous ne parlons que des ordinateurs, et un petit peu des smartphones, demain l'industrie prévoit d'équipé tout un tas d'équipements électroménager, d'où l'ipv6.
On pourrait fort bien imaginer une attaque dos à base de BOX internet ou de télé dès lors que celle-ci est capable d'envoyer / recevoir un flux ip. Et là il y aurait bien plus de zombies que tout ce que l'on connait aujourd'hui sur les pcs.

Le problème de dell est grave, mais ce type de problème apparait régulièrement (cd infecté, clés usb etc) et peut se cacher là où on ne l'imagine pas, un compilateur par exemple.... Pour l'heure aucune conséquence grave n'est à relever, mais l'industrie devrait y faire attention.
Sinon sa va finir comme bp, la valeur des actions dans les chaussettes, et encore que ce n'est pas la conséquence la plus grave.

Ce qui est terrible dans cette histoire c'est que même sans anti virus un simple contrôle d'intégrité du software par comparaison de somme aurait pu soulever le problème avant la livraison des éléments infectés, enfin c'est ce que je me dis.

[10_GOTO_10]

Ce qui est terrible dans cette histoire c'est que même sans anti virus un simple contrôle d'intégrité du software par comparaison de somme aurait pu soulever le problème avant la livraison des éléments infectés, enfin c'est ce que je me dit.

C'est très certainement fait. Mais si un CRC détecte facilement une erreur de copie, par exemple, c'est inefficace contre une action malveillante: celui qui a copié le virus s'est très certainement débrouillé pour avoir le même CRC (et c'est très facile, un CRC n'est pas un hash, qui serait lui plus dur à contrefaire).

[cs_ntd]

Un CRC est un hash hein... C'est la technique de calcul du CRC qui le rend plus facile à corrompre que d'autres. Un hash est tout ce qui permet de réduire des données à un ensemble plus petit, qui fait office d'empreinte.

[dams78]

J'ai toujours du mal à comprendre comment cela peut arrivé.
Il doit quand même falloir montrer patte blanche pour avoir accès aux chaînes de montage, enfin j'imagine.

[grafikm_fr]

J'ai toujours du mal à comprendre comment cela peut arrivé.
Il doit quand même falloir montrer patte blanche pour avoir accès aux chaînes de montage, enfin j'imagine.

Une des pistes auxquelles j'ai pensé c'est s'ils font du test aléatoire de cartes en les branchant, à ce moment là tu peux potentiellement modifier le firmware.

Mais bon après je connais pas les process de Dell, vu qu'ils sont en effet un peu confidentiels...

[kedare]

C'est tout simplement le BMC qui a été infecté, pour ceux qui savent pas, c'est une sorte de mini ordinateur dans un serveur avec son propre port Ethernet, son propre processeur, sa propre RAM, son propre espace de stockage (parfois une SD Card), et il a pour but de pouvoir surveiller les dizaines/centaines de sondes qu'on peut trouver sur les serveurs, et ca permet la prise en main a distance comme si on était devant (via un applet java généralement, la sortie VGA est retransmise ainsi que le clavier/souris)

http://en.wikipedia.org/wiki/Baseboa...ent_controller
http://en.wikipedia.org/wiki/Intelli...ment_Interface