Sennheiser : grosse faille de sécurité dans le logiciel HeadSetup pour Mac et Windows

Mickaël Bazoge |

Sennheiser a bouché une faille critique dans son logiciel HeadSetup, qui assure le bon fonctionnement des micro-casques et haut-parleurs de conférence de la marque avec les plateformes de téléphonie. Depuis sa version 7.3, cet utilitaire installe un certificat TLS au beau milieu du magasin idoine de macOS et de Windows, une opération nécessaire pour établir une connexion chiffrée WebSocket avec un navigateur.

La faille ici, c’est que le format de la clé de chiffrement stockée dans le certificat auto-signé est facile à hacker. La clé était chiffrée avec le mot de passe « SennheiserCC », présent en clair dans le fichier de configuration… Avec l’aide de ces informations, un malandrin était en mesure de créer un certificat TLS lui permettant d’imiter n’importe quel site HTTPS.

Le mot de passe en clair dans le fichier de configuration de HeadSetup.

Le Mac ou le PC sur lequel HeadSetup est installé n’y voit donc que du feu. Et l’utilisateur aussi qui pense donner, en toute confiance, des informations sensibles à un site web contrefait. Pire encore, sur les ordinateurs où est présent la version 7.3 du logiciel de Sennheiser, la validation du certificat vulnérable fonctionnera jusqu’en 2027. Désinstaller cette app ne change rien à l’affaire puisque l’opération ne supprime pas le certificat.

Les utilisateurs de HeadSetup sont donc fermement invités à télécharger la toute dernière version de ce utilitaire séance tenante. Sennheiser propose également des manuels (pour Mac, pour PC) afin de supprimer les certificats au cas où la mise à jour ne pourrait pas être appliquée.

avatar Stpaul | 

On a le nom du développeur ? Au prix du matériel…

avatar CorbeilleNews | 

@Stpaul

D'autres marques bien plus chère en regard de la qualité et de leur connaissances en codage informatique on fait de bien belles erreurs également, voir bien pire...

avatar en ballade | 

@Stpaul

I am root

avatar Fan2ElodieFrege | 

Logiciel développé par Adobe

avatar DareMac | 

On parle de faille d’un logiciel sur Mac et PC, mais c’est avec le Terminal de Ubuntu que la faille se dévoile en photo... J’imagine que la même opération est possible sur le Terminal d’un Mac. Le logiciel existe-t-il aussi pour Linux?

avatar bitonio | 

@DareMac

Oui grep est dispo dans MacOS

avatar byte_order | 

@DareMac
L'image est juste reprise du rapport PDF exposant la faille.
Il se trouve que les ingénieurs de Secorvo Security Consulting GmbH auteurs de ce rapport semblent préférer bosser sous Linux que sous macOS pour leurs travaux.

Mais, oui, ils auraient très probablement pu le faire aussi sous macOS.
Pas de quoi s'en offusquer, quoi.

avatar koko256 | 

C'est inadmissible d'installer un CA sur la machine (avec au sans mot de passe bidon). Ils devraient être poursuivi.

CONNEXION UTILISATEUR