Un ver informatique sur des cartes mères DELL

Un ver informatique a été identifié au niveau de cartes mères du constructeur américain DELL. Sont concernés les modèles PowerEdge R310, PowerEdge R410, PowerEdge R510 et PowerEdge T410. Il s'agit de modèle de type "rackables en baie" pour les 3 premiers et d'un modèle en tour pour le T410 : Des équipements destinés à des clients de type entreprise.

Attitude de DELL : Transparence
Selon l'annonce officielle de DELL sur leur forum, seules les cartes mères provenance de leur service après-vente seraient concernées.

Honnêtement : Qui n'a jamais été infecté par un ver ou un virus ? Je ne cherche pas à excuser l'un ou l'autre (ce n'est jamais bon qu'une société diffuse ou infecte involontairement ses clients). Dans le cas ou cela arrive, il faut être professionnel et transparent : C'est qu'à fait DELL. Perso, je dis "bien". Les plus aigris jetteront la pierre... à chacun sa façon de voir les choses.

Le matériel, un vecteur de diffusion de malware bien connu
Ce n'est pas la première fois que des équipements informatiques neufs (ou considérés comme) sont des vecteurs de codes malicieux : Des clefs USB, disques durs ou des périphériques USB ont déjà été des vecteurs de propagation. Cela a notamment été le cas des chargeurs de piles USB Energizer en Mars 2010 (cf communiqué officiel).

Ce vecteur de diffusion est assez dangereux : Seuls les plus paranoïaques scanneront la clef USB fraichement déballée de son blister plastique soudé... alors pour une carte mère, les chances qu'elle soit scannée sont encore plus maigres.

Un scénario "catastrophe" vraisemblable
Votre serveur DELL PowerEdge est en production depuis 1 an. Subitement il tombe en panne. Après diagnostic, un technicien de chez DELL intervient sur site et remplace la carte mère défectueuse.... votre serveur redémarre, tout semble être rentré en ordre.

Mais quelques heures après, vos systèmes d'alertes sont dans le rouge : Infection virale sur 60% de votre parc informatique.... Tout le monde se pose la question par ou la bestiole est rentrée, personne ne soupçonnera la carte mère changée le matin même.

Des conséquences limitées
Fort heureusement, le ver (W32.Spybot.Worm) n'est pas stocké dans la ROM mais dans un espace de mémoire Flash de la carte mère : Il est facilement détectable via tout antivirus et peut être facilement éradiqué.

De plus, mon "scénario catastrophe" n'est pas directement applicable : Ce ver w32.Spybot.Worm est ancien (découvert en 2003) sa diffusion sera donc des plus limitée. Changez le ver par une variante non détectée par les antivirus et exploitant par exemple un 0-day et là le scénario tiens la route.

Les antivirus : Une "hygiène de base" en entreprise
Encore une nouvelle et bonne raison pour généraliser l'installation d'un logiciel antivirus sur toute machine quelque soit son type et son utilisation.

Fort heureusement, les logiciels antivirus sont l'une des mesures que l'on retrouve dans près de 100% des entreprises (cf l'étude du Forrester "HeatWave: Hot Client Security Technologies For Big Spenders And Bargain Hunters, April 2010".

Cette étude indique très justement que ces logiciels sont nécessaires mais qu'ils ne sont plus suffisant : Ils doivent être notamment complétés par des solution de patch management et de firewalls embarqués sur les machines.
Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens