Référence DSA : DSA-2020-119 : Faille de sécurité de l’outil de réinitialisation du mot de passe du BIOS non autorisé des produits client Dell
Certaines plates-formes Dell grand public et commerciales prennent en charge une fonctionnalité de réinitialisation des mots de passe qui est conçue pour aider les clients autorisés qui ont oublié leurs mots de passe. Dell a conscience de l’existence d’un outil de génération de mots de passe qui peut générer des mots de passe de récupération du BIOS. Les outils, qui ne sont pas autorisés par Dell, peuvent être utilisés par un attaquant physiquement présent pour réinitialiser les mots de passe du BIOS et les mots de passe des disques durs gérés par le BIOS. Un attaquant non authentifié disposant d’un accès physique au système pourrait potentiellement exploiter cette faille de sécurité pour contourner les restrictions de sécurité de la configuration du BIOS, de l’accès au disque dur et de l’authentification de prédémarrage du BIOS.
Dell prévoit plusieurs atténuations et limitations à l’utilisation de mots de passe de réinitialisation non autorisés sur les plates-formes commerciales. Nous recommandons aux clients de suivre les pratiques d’excellence en matière de sécurité et d’empêcher tout accès physique non autorisé aux appareils. Les clients peuvent également choisir d’activer la fonctionnalité de verrouillage du mot de passe principal à partir de la configuration du BIOS (disponible sur les plateformes commerciales suivantes : toutes les plateformes dotées du BIOS Insyde à partir de mars 2024 et toutes les autres plateformes à partir de 2011) pour protéger les mots de passe administrateur, système et du disque dur contre toute réinitialisation.
Consultez l’avis de sécurité de Dell pour plus d’informations : DSA-2020-119 : Faille de sécurité de l’outil de réinitialisation du mot de passe du BIOS non autorisé des produits client Dell
Q : Quels modèles sont concernés ?
R : Cela concerne la plupart des systèmes client Commercial et certains systèmes grand public de Dell. Toutes les plates-formes qui affichent les ID suivants sur les invites du mot de passe de pré-démarrage du BIOS (Dell Security Manager)
B: Plateformes avec BIOS Insyde : pour vérifier si votre plateforme est basée sur le BIOS Insyde,
Q : Comment puis-je protéger ma plateforme contre une réinitialisation de mot de passe non autorisée ?
R : Il existe plusieurs mesures d’atténuation et de pratiques d’excellence que les clients doivent suivre pour protéger leurs plates-formes.
Avertissement : Si l’option de verrouillage du mot de passe maître est sélectionnée et que le client oublie par la suite le mot de passe, Dell ne sera pas en mesure de vous aider à récupérer les mots de passe. La plate-forme sera irrécupérable, et la carte mère ou le disque dur devront être remplacés.
Q : Cet outil peut-il être utilisé à distance pour réinitialiser mes mots de passe ?
R : Non, un utilisateur doit être physiquement présent sur le système pour pouvoir utiliser le mot de passe de récupération. Par conséquent, la protection physique de la plate-forme doit toujours être utilisée.
Q : Comment puis-je déterminer si cet outil a été utilisé sur ma plateforme ?
R : L’utilisation du mot de passe de récupération peut être détectée, car son utilisation entraîne la suppression des mots de passe du BIOS applicables (administrateur/système ou disque dur géré par le BIOS).
Q : L’utilisation du mot de passe de récupération permet-elle d’accéder aux données sur mon disque dur ?
R : Lors de la définition du mot de passe du disque dur, une option est présentée pour forcer la suppression d’un disque dur si le mot de passe de récupération du disque dur est utilisé. Si cette option est sélectionnée lors de la configuration du mot de passe du disque dur, le disque dur est effacé lors de l’utilisation du mot de passe de récupération du disque dur. Par conséquent, aucun accès aux données n’est autorisé. Si cette option n’est pas sélectionnée, les données du disque dur sont conservées. Toutefois, si le chiffrement de disque dur est utilisé (par exemple, BitLocker), les données sont accessibles, mais les informations sur le disque sont protégées contre la divulgation.
Q : L’utilisation du mot de passe de récupération permet-elle d’accéder au système d’exploitation ?
R : L’utilisation du mot de passe de récupération n’autorise pas le contournement des informations d’identification du système d’exploitation.
Q : Cela affecte-t-il les disques à chiffrement automatique qui utilisent une application de gestion SED externe pour définir les mots de passe sur mon disque ?
R : Cet outil n’a aucun impact sur les disques à chiffrement automatique qui sont provisionnés et gérés par une application de gestion SED externe. L’outil de réinitialisation n’affecte que les mots de passe du BIOS gérés par la configuration du BIOS.
Q : Cet outil compromet-il l’intégrité du firmware de mon BIOS et la racine de confiance de ma plateforme ?
R : L’utilisation du mot de passe de récupération ne compromet pas l’intégrité du firmware du BIOS. Le firmware du BIOS est doté d’une protection par vérification de signature NIST 800-147 ainsi que de fonctionnalités supplémentaires telles que Intel BootGuard, Intel BIOSGuard et les protections en écriture du firmware du chipset. L’utilisation de l’outil peut autoriser l’accès à l’interface de configuration du BIOS, ce qui permet de modifier les paramètres de sécurité de la plate-forme, tels que l’activation de Secure Boot et les paramètres TPM.
Voici quelques articles recommandés sur ce sujet qui peuvent vous intéresser.