Lenovo a réagi officiellement au scandale provoqué par le logiciel SuperFish. Le constructeur annonce ne plus s’en servir et avoir coupé les connexions dès le mois dernier. Par ailleurs, il est en contact avec la société SuperFish afin que le produit soit amélioré sur la base des retours des utilisateurs. La firme présente ses excuses pour la gêne occasionnée et ajoute que les gammes d’ordinateurs pour entreprises n’ont jamais été concernées (notamment les ThinkPad). La filiale française propose par ailleurs un document PDF résumant la procédure complète de désinstallation (qui reprend ce que nous avions indiqué au sujet du certificat).
Lenovo est au cœur d’un scandale sur la sécurité de ses machines. Le constructeur installe non seulement un adware qui injecte des publicités dans les résultats de recherche et dans certaines pages, mais également un certificat racine qui peut théoriquement permettre un espionnage direct de toutes les connexions sécurisées. Explications.
SuperFish, l'adware et le certificat de sécurité
SuperFish : tel est le nom d’un petit programme que l’on retrouve sur les PC portables vendus par Lenovo. Quand l’utilisateur navigue sur le web, cet adware injecte des informations dans les résultats de Google, ainsi que sur d’autres sites, sans demander évidemment la permission de l’utilisateur. Pour l’instant, seuls Internet Explorer et Chrome semblent touchés par le problème, Firefox gérant son catalogue de sécurité à part.
En tant que tel, le problème est déjà sérieux. En effet, pourquoi insister sur la publicité puisque la machine a été dûment payée ? Pour Lenovo, il n’y avait pas de problème en janvier sur le fond-même de SuperFish, le responsable Mark Hopkins indiquant que cela permettait d’aider les utilisateurs à découvrir et trouver d’autres produits, tout en les informant d’offres comparables, ou moins chères, s’ils étaient en train de se renseigner sur des produits particuliers. Il notait cependant qu’une mise à jour était nécessaire car les publicités étaient parfois envahissantes, voire apparaissaient sous forme de popups.
#superfish pic.twitter.com/UVzMdbe9fe
— Chris Palmer (@fugueish) 19 Février 2015
Mais le vrai problème vient d’un certificat racine installé par SuperFish pour pouvoir réaliser ces injections. Et il semble clairement que Lenovo ait sorti le canon pour tuer le moustique, car la technique est généralement utilisée par les pirates dans le cas d’attaques de type « man-in-the-middle », aboutissant au vol d’informations. Car, en tant que tel, le certificat racine est accepté par la machine et permet d’espionner directement n’importe quelle connexion sécurisée, y compris celle permettant d’utiliser le site d’une banque par exemple.
Le certificat pourrait être utilisé par les pirates pour récupérer des données sensibles
Les premiers rapports sur la présence de SuperFish remontent à avril 2014 et un utilisateur avait même créé une vidéo en novembre dernier pour expliquer comment supprimer ce logiciel. Mais la problématique prend de l’ampleur à cause du certificat de sécurité et de l’absence complète de réflexion qui semble accompagner une telle action, tant les répercussions peuvent être nombreuses. Car soit Lenovo procède ainsi intentionnellement, soit c’est la seule solution trouvée afin d’injecter des publicités.
En tant que tel, le certificat racine pourrait en fait se faire passer pour n’importe quel autre certificat. Le problème est sérieux, mais devient ubuesque quand on sait que c’est la même clé privée qui est utilisée pour le signer sur chaque machine de Lenovo. En d’autres termes, il suffit à une personne d’extraire la clé puis de monter un serveur ou de se positionner dans un réseau Wi-Fi public pour espionner toutes les connexions des machines Lenovo. Or, tout porte à croire que cette clé a déjà été extraite, ce qui pose un risque immédiat pour tous les utilisateurs concernés.
Et les acteurs concernés sont parfaitement au courant de la situation. Comme noté il y a quelques heures par Nick Semenkovich, doctorant au MIT, SuperFish propose un patch contenant « Patch for Lenovo - do not run on https sites », signe que le danger a bien été détecté. Et Lenovo a également réagi ce midi pour indiquer non seulement que le logiciel n’était plus installé sur les nouvelles machines, mais qu’il avait été également désactivé pour les actuelles.
Se débarrasser du dangereux certificat
Par ailleurs, si désinstaller SuperFish est assez facile, la procédure ne supprime pas le certificat pour autant. Pour y parvenir, il faut chercher dans Windows le gestionnaire de certificats, que l’on peut trouver en écrivant « gérer les certificats ». Une fois la console ouverte, il faut ouvrir le dossier « Autorités de certification racine tierce partie », puis « Certificats ». Il faut alors chercher la ligne SuperFish puis supprimer le certificat associé.
Ceux qui aimaient faire une réinstallation propre de Windows après l’achat d’une nouvelle machine chez un constructeur ne changeront en tout cas pas leurs habitudes, sans parler de la très mauvaise publicité que Lenovo récolte actuellement. Alors que l’on s’avance vers le deuxième anniversaire des révélations d’Edward Snowden, les actions de Lenovo risquent d’engendrer une crise de confiance de la clientèle non seulement envers ses propres machines, mais également celles des autres constructeurs. Car si Lenovo procède ainsi, pourquoi pas d’autres ?
