Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

[MàJ] SuperFish : Lenovo s'excuse pour l'adware, les ThinkPad épargnés

Si c'est volontaire, c'est grave. Si c'est involontaire, c'est tout aussi grave.
Logiciel 4 min
[MàJ] SuperFish : Lenovo s'excuse pour l'adware, les ThinkPad épargnés
Crédits : nevarpp/iStock/Thinkstock
Mise à jour :

Lenovo a réagi officiellement au scandale provoqué par le logiciel SuperFish. Le constructeur annonce ne plus s’en servir et avoir coupé les connexions dès le mois dernier. Par ailleurs, il est en contact avec la société SuperFish afin que le produit soit amélioré sur la base des retours des utilisateurs. La firme présente ses excuses pour la gêne occasionnée et ajoute que les gammes d’ordinateurs pour entreprises n’ont jamais été concernées (notamment les ThinkPad). La filiale française propose par ailleurs un document PDF résumant la procédure complète de désinstallation (qui reprend ce que nous avions indiqué au sujet du certificat).

Lenovo est au cœur d’un scandale sur la sécurité de ses machines. Le constructeur installe non seulement un adware qui injecte des publicités dans les résultats de recherche et dans certaines pages, mais également un certificat racine qui peut théoriquement permettre un espionnage direct de toutes les connexions sécurisées. Explications.

SuperFish, l'adware et le certificat de sécurité

SuperFish : tel est le nom d’un petit programme que l’on retrouve sur les PC portables vendus par Lenovo. Quand l’utilisateur navigue sur le web, cet adware injecte des informations dans les résultats de Google, ainsi que sur d’autres sites, sans demander évidemment la permission de l’utilisateur. Pour l’instant, seuls Internet Explorer et Chrome semblent touchés par le problème, Firefox gérant son catalogue de sécurité à part.

En tant que tel, le problème est déjà sérieux. En effet, pourquoi insister sur la publicité puisque la machine a été dûment payée ? Pour Lenovo, il n’y avait pas de problème en janvier sur le fond-même de SuperFish, le responsable Mark Hopkins indiquant que cela permettait d’aider les utilisateurs à découvrir et trouver d’autres produits, tout en les informant d’offres comparables, ou moins chères, s’ils étaient en train de se renseigner sur des produits particuliers. Il notait cependant qu’une mise à jour était nécessaire car les publicités étaient parfois envahissantes, voire apparaissaient sous forme de popups.

Mais le vrai problème vient d’un certificat racine installé par SuperFish pour pouvoir réaliser ces injections. Et il semble clairement que Lenovo ait sorti le canon pour tuer le moustique, car la technique est généralement utilisée par les pirates dans le cas d’attaques de type « man-in-the-middle », aboutissant au vol d’informations. Car, en tant que tel, le certificat racine est accepté par la machine et permet d’espionner directement n’importe quelle connexion sécurisée, y compris celle permettant d’utiliser le site d’une banque par exemple.

Le certificat pourrait être utilisé par les pirates pour récupérer des données sensibles

Les premiers rapports sur la présence de SuperFish remontent à avril 2014 et un utilisateur avait même créé une vidéo en novembre dernier pour expliquer comment supprimer ce logiciel. Mais la problématique prend de l’ampleur à cause du certificat de sécurité et de l’absence complète de réflexion qui semble accompagner une telle action, tant les répercussions peuvent être nombreuses. Car soit Lenovo procède ainsi intentionnellement, soit c’est la seule solution trouvée afin d’injecter des publicités.

En tant que tel,  le certificat racine pourrait en fait se faire passer pour n’importe quel autre certificat. Le problème est sérieux, mais devient ubuesque quand on sait que c’est la même clé privée qui est utilisée pour le signer sur chaque machine de Lenovo. En d’autres termes, il suffit à une personne d’extraire la clé puis de monter un serveur ou de se positionner dans un réseau Wi-Fi public pour espionner toutes les connexions des machines Lenovo. Or, tout porte à croire que cette clé a déjà été extraite, ce qui pose un risque immédiat pour tous les utilisateurs concernés.

superfish

Et les acteurs concernés sont parfaitement au courant de la situation. Comme noté il y a quelques heures par Nick Semenkovich, doctorant au MIT, SuperFish propose un patch contenant « Patch for Lenovo - do not run on https sites », signe que le danger a bien été détecté. Et Lenovo a également réagi ce midi pour indiquer non seulement que le logiciel n’était plus installé sur les nouvelles machines, mais qu’il avait été également désactivé pour les actuelles.

Se débarrasser du dangereux certificat 

Par ailleurs, si désinstaller SuperFish est assez facile, la procédure ne supprime pas le certificat pour autant. Pour y parvenir, il faut chercher dans Windows le gestionnaire de certificats, que l’on peut trouver en écrivant « gérer les certificats ». Une fois la console ouverte, il faut ouvrir le dossier « Autorités de certification racine tierce partie », puis « Certificats ». Il faut alors chercher la ligne SuperFish puis supprimer le certificat associé.

Ceux qui aimaient faire une réinstallation propre de Windows après l’achat d’une nouvelle machine chez un constructeur ne changeront en tout cas pas leurs habitudes, sans parler de la très mauvaise publicité que Lenovo récolte actuellement. Alors que l’on s’avance vers le deuxième anniversaire des révélations d’Edward Snowden, les actions de Lenovo risquent d’engendrer une crise de confiance de la clientèle non seulement envers ses propres machines, mais également celles des autres constructeurs. Car si Lenovo procède ainsi, pourquoi pas d’autres ?

superfish

159 commentaires
Avatar de Thomasynchrotron INpactien
Avatar de ThomasynchrotronThomasynchrotron- 19/02/15 à 17:38:35

Qui plus est, le certificat est maintenant public :http://blog.erratasec.com/2015/02/extracting-superfish-certificate.html

Avatar de Valeryan_24 Abonné
Avatar de Valeryan_24Valeryan_24- 19/02/15 à 17:42:57

Et après on s'étonne que le utilisateurs installent Adblock ! C'est bon, le troll est passé, vous pouvez taper :D

Surtout, outre cet énième exemple de crapware fourni de base, le vrai problème reste bien évidemment l'attaque MITM rendue possible par le certificat racine. Déjà c'est une honte de l'introduire, mais en plus le même sur tous les postes, sans le générer individuellement avec une bonne entropie, c'est carrément stupide et criminel... Et Lenovo se garde bien pour le moment de communiquer là-dessus, la désinstallation de Superfish ne révoquant effectivement pas le CA (alors que le mot de passe a été trouvé), formulant juste de vagues excuses et affirmant que les internautes n'étaient pas profilés (on est priés de les croire sur parole).

Une marque - déjà listée dans les mauvais vendeurs par Racketiciel - à boycotter. Entre ça, les logiciels espions des services de renseignement ou autres disques durs contaminés, il est urgent d'aider le développement de l'open hardware et de bios libres.

Avatar de NonMais INpactien
Avatar de NonMaisNonMais- 19/02/15 à 17:44:06

Je ne suis pas spécialiste mais si on fait du https avec un serveur tierce, on utilise le certificat de ce serveur non? donc le certificat de SuperFish, on s'en fiche (hahaha le jeu de mot) , non?

Avatar de Drepanocytose Abonné
Avatar de DrepanocytoseDrepanocytose- 19/02/15 à 17:46:17

Lenovo, les meilleures machines du marché il parait (lu ici même par "ceux qui savent")..
Fiables, robustes, etc : il faut bien ca pour que l'espionnage dure le plus longtemps possible :yes:

Bon blague à part c'est scandaleux.... Voilà pourquoi je reinstalle TOUJOURS mon OS quand je change de machine. Et en général ca passe sous linux.
Et comme dit, c'est aussi grave si c'est intentionnel que si ca ne l'est pas.

Avatar de Ami-Kuns INpactien
Avatar de Ami-KunsAmi-Kuns- 19/02/15 à 17:46:25

Tant qu'on parle sécurité :
http://www.leparisien.fr/high-tech/la-france-aurait-bien-son-propre-logiciel-d-e...

Par contre sait pas si c'est un gag.:transpi:

Avatar de ferreol Abonné
Avatar de ferreolferreol- 19/02/15 à 17:49:53

Bonjour,
Existe il un moyen pour vérifier la validité de l'ensemble des certificats installé sur un PC ?
Et si oui comment ?
Merci d’avance.
 

Avatar de Arcy Abonné
Avatar de ArcyArcy- 19/02/15 à 17:50:58

Le BABAR est connu depuis les révélations de Snowden ...

Avatar de Bixou INpactien
Avatar de BixouBixou- 19/02/15 à 17:57:10

Voilà pourquoi j'ai l'habitude de récupérer la clé Windows et d'installer un Windows propre lors de l'achat d'un PC de marque...

Avatar de Ami-Kuns INpactien
Avatar de Ami-KunsAmi-Kuns- 19/02/15 à 17:58:06

Le programme me sembler vraisemblable, mais le nom me faisait tiquer.

Avatar de Patch INpactien
Avatar de PatchPatch- 19/02/15 à 17:59:36

c'est vraiment con, surtout que leur matos est loin d'être mauvais (enfin... sauf leurs trackpads horribles et les disques durs Seagate Barracuda qui crashent tous les 3 matins (en gros sur une 100taine de machines recues en Juin et que j'ai installées entre Juin et Décembre, j'ai déjà demandé des SAV sur 10 disques durs... joli score!))...
et c'est une des raisons pour lesquelles on formatte tous nous PC avant déploiement : virer tous les pourriciels.

Édité par Patch le 19/02/2015 à 18:00
Il n'est plus possible de commenter cette actualité.
Page 1 / 16