L’affaire SuperFish révèle un problème de sécurité plus vaste avec les certificats

Il y a quelques jours, Lenovo devait s’excuser pour avoir installé un adware, SuperFish, sur une partie de ses ordinateurs portables et provoqué une grande inquiétude sur la sécurité d’un certificat auto-signé. Or, la technologie qui se cache dans SuperFish est exploitée par d’autres produits, élargissant de manière importante le risque encouru par les internautes.

Une mauvaise publicité pour Lenovo

Lenovo a livré pendant des années SuperFish avec ses portables destinés au grand public. Derrière ce nom se cache un logiciel capable, via un certificat auto-signé, d’intercepter les communications SSL pour insérer du contenu de son choix. Dans la pratique, il s’agit d’un adware puisque SuperFish avait surtout pour mission d’intégrer de la publicité dans des pages web et de modifier les résultats de recherche sur Google.

Lenovo a fini par s’excuser en indiquant que SuperFish n’était plus installé sur ses nouvelles machines depuis le mois dernier et que le service était désactivé depuis peu sur les portables existants. Le constructeur emboitait le pas des nombreux sites ayant relayé l’information et fournissait une procédure complète de désinstallation, tant pour SuperFish que pour le certificat de sécurité. Depuis, il met même à disposition un outil pour s'occuper complètement du travail.

Le certificat de tous les dangers

C’est ce dernier qui pose véritablement problème, car sa clé de chiffrement a rapidement été extraite, prouvant qu’il est très simple de réaliser des attaques de type « man-in-the-middle » avec les machines Lenovo, puisque c’est précisément ce que fait SuperFish. Cette technologie provient d’une entreprise israélienne, Komodia, qui la fournit à d’autres sociétés, avec le même problème à chaque fois.

Alors même qu'un recours collectif est actuellement en formation outre-Atlantique, on découvre en effet qu'il existe plus d’une douzaine de produits, issus de sociétés telles que CartCrunch Israel, WiredTools, Say Media Group, Over the Rainbow Tech, System Alerts, ArcadeGiant, Objectify Media, Catalytix Web Services ou encore OptimizerMonitor. Matt Richard, chercheur en sécurité chez Facebook, a d’ailleurs publié samedi un long billet explicatif sur la situation. À chaque fois, on retrouve les fichiers DLL de Komodia, et toujours dans le but d’intercepter des communications SSL. L’un des produits utilisant la technologie, Nurjax, est même référencé en tant que malware par Symantec depuis décembre.

La technique n'est pas nouvelle, mais l'implémentation est mauvaise

Cependant, l’utilisation de ce type de certificat pour intercepter les communications n’est pas nouvelle. Les solutions de sécurité en ont besoin pour vérifier le trafic internet notamment. Alors quelle différence avec la technologie de Komodia ? La réponse est simple : c’est le même certificat que l’on retrouve sur toutes les machines. En d’autres termes, la même clé de chiffrement permet non seulement d’organiser des attaques très facilement contre les machines Lenovo, mais également contre toutes celles qui embarquent l’un des produits puisant dans le savoir-faire de Komodia.

Le problème prend d’autant de l’ampleur qu’on le retrouve chez au moins deux autorités de certification, Lavasoft et Comodo. Pour le premier, c’est le logiciel Ad-aware Web Companion, qui est parfois accolé à certaines solutions antivirales. Pour l’instant, l’éditeur semble être le seul à utiliser une implémentation aussi vulnérable de ce type de stratégie. Selon Ars Technica, AWC pourrait être mis à jour dans la journée pour se débarrasser du problème.

Quant à Comodo, la même technique est utilisée pour son produit PrivDog, sans pour autant provenir de chez Komodia. Malheureusement, le résultat est le même : une fois en place, la plupart des navigateurs acceptent automatiquement tous les certificats auto-signés, ce qui peut, là encore, être facilement exploité par des pirates pour mener les internautes vers des sites frauduleux.

Vérifier ses logiciels et ses certificats installés

L’internaute a dans tous les cas tout intérêt à savoir si le moindre logiciel, quel que soit son objectif, s’amuse à court-circuiter ses connexions sécurisées. Même dans le cas de solutions de sécurité, le risque est tout simplement trop grand. Un site spécifique permet d’indiquer rapidement si SuperFish est installé, ou qu’un autre logiciel s’appuie sur la méthode du certificat de sécurité tout-puissant pour intercepter les connexions SSL. Conçu par le chercheur Filippo Valsorda, il affiche le résultat au bout de quelques secondes. Si un élément quelconque est détecté, il faudra procéder à la désinstallation du logiciel et éventuellement compléter avec une recherche des certificats incriminés, comme nous l’indiquions déjà la semaine dernière.

Sachez d’ailleurs que la procédure de désinstallation d’AWC supprime bien l’ensemble, contrairement à celle de SuperFish. Il semble par ailleurs que le logiciel de Lavasoft ait été mis à jour, malgré l’indication donnée par le produit (dernière version datant du 18 février). D’après nos essais récents, l’installation ne met en place aucun certificat, et le site de Filippo Valsorda n’indique rien.

Il va surtout falloir que les différentes entreprises impliquées réagissent de manière efficace et transparente. Ce fut le cas de Lenovo il y a quelques jours, qui a ouvertement reconnu le problème, décrit les mesures qui ont été prises et fourni dans la foulée une méthode complète de désinstallation de SuperFish. Ce dernier, par contre, nie actuellement tout problème de sécurité, ce qui est assez surprenant. Son PDG affirme ainsi que les rapports dans la presse sont inexacts et, même s’il reconnait qu’il y a eu un problème, il insiste sur le fait que SuperFish ne stocke pas les données des utilisateurs et ne les partage avec aucun autre éditeur. Ce dont personne ne l’accusait. Une déclaration à mettre en perspective d'une recommandation officielle de désinstallation par le Département américain de la sécurité intérieure.

On notera enfin que dans la journée de vendredi, Microsoft a publié une mise à jour des signatures de son antivirus gratuit Windows Defender (Security Essentials). S’il est actif (et n’est donc pas mis au repos par un autre antivirus), il préviendra l’utilisateur du problème et lui proposera de tout supprimer, y compris le certificat. Attention cependant : comme nous l’indiquions, Firefox dispose de son propre catalogue de certificats, et il faudra se rendre dans le gestionnaire spécifique du navigateur, dans les options.