C'est l'expert en cybersécurité Brian Krebs qui a enquêté sur cette boulette. Alerté par Symantec, Hewlett-Packard a averti ses clients de la révocation le 21 octobre prochain d'un certificat numérique qui a été utilisé pour signer des composants logiciels livrés avec plusieurs de ses anciens produits.
Le problème est qu'en 2010, ce certificat a aussi été utilisé pour signer par erreur un cheval de Troie Windows. Cela peut paraître très inquiétant mais un responsable de la sécurité des systèmes d'information chez HP se veut rassurant.
Le malware en question avait infecté l'ordinateur d'un développeur HP, puis avait pris un nom afin d'imiter celui d'un fichier employé par la société pour ses tests de vérification. Le malware a été intégré dans des outils regroupés dans un pack utilisé en interne qui a été ultérieurement signé. En l'occurrence, ce pack n'a jamais été diffusé auprès des utilisateurs et n'a pas été mis en production.
Le responsable de HP souligne qu'il n'y a pas eu de brèche au niveau de l'autorité de certification et que l'infrastructure de signature de code n'a pas été compromise.
Le principal souci désormais est que la révocation du certificat numérique affecté va obliger HP à signer à nouveau des logiciels qui sont déjà en cours d'utilisation (qui avaient été signés avec ledit certificat). Des utilisateurs de Windows auront ainsi droit à des alertes s'ils essaient " par exemple de réinstaller certains pilotes logiciels depuis leur média d'installation d'origine. "
Il pourrait en outre avoir des problèmes pour les entreprises qui utilisent des ordinateurs HP avec des partitions de restauration intégrées (partition disque réservée) puisque celles-ci contiennent des logiciels signés avec le certificat prochainement révoqué. Que va-t-il se passer si une réinstallation avec cette partition est nécessaire ?
