Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

L'affaire SuperFish révèle un problème de sécurité plus vaste avec les certificats

Merci Lenovo
Logiciel 5 min
L'affaire SuperFish révèle un problème de sécurité plus vaste avec les certificats
Crédits : maxkabakov/iStock/Thinkstock

Il y a quelques jours, Lenovo devait s’excuser pour avoir installé un adware, SuperFish, sur une partie de ses ordinateurs portables et provoqué une grande inquiétude sur la sécurité d’un certificat auto-signé. Or, la technologie qui se cache dans SuperFish est exploitée par d’autres produits, élargissant de manière importante le risque encouru par les internautes.

Une mauvaise publicité pour Lenovo

Lenovo a livré pendant des années SuperFish avec ses portables destinés au grand public. Derrière ce nom se cache un logiciel capable, via un certificat auto-signé, d’intercepter les communications SSL pour insérer du contenu de son choix. Dans la pratique, il s’agit d’un adware puisque SuperFish avait surtout pour mission d’intégrer de la publicité dans des pages web et de modifier les résultats de recherche sur Google.

Lenovo a fini par s’excuser en indiquant que SuperFish n’était plus installé sur ses nouvelles machines depuis le mois dernier et que le service était désactivé depuis peu sur les portables existants. Le constructeur emboitait le pas des nombreux sites ayant relayé l’information et fournissait une procédure complète de désinstallation, tant pour SuperFish que pour le certificat de sécurité. Depuis, il met même à disposition un outil pour s'occuper complètement du travail.

Le certificat de tous les dangers

C’est ce dernier qui pose véritablement problème, car sa clé de chiffrement a rapidement été extraite, prouvant qu’il est très simple de réaliser des attaques de type « man-in-the-middle » avec les machines Lenovo, puisque c’est précisément ce que fait SuperFish. Cette technologie provient d’une entreprise israélienne, Komodia, qui la fournit à d’autres sociétés, avec le même problème à chaque fois.

Alors même qu'un recours collectif est actuellement en formation outre-Atlantique, on découvre en effet qu'il existe plus d’une douzaine de produits, issus de sociétés telles que CartCrunch Israel, WiredTools, Say Media Group, Over the Rainbow Tech, System Alerts, ArcadeGiant, Objectify Media, Catalytix Web Services ou encore OptimizerMonitor. Matt Richard, chercheur en sécurité chez Facebook, a d’ailleurs publié samedi un long billet explicatif sur la situation. À chaque fois, on retrouve les fichiers DLL de Komodia, et toujours dans le but d’intercepter des communications SSL. L’un des produits utilisant la technologie, Nurjax, est même référencé en tant que malware par Symantec depuis décembre.

La technique n'est pas nouvelle, mais l'implémentation est mauvaise

Cependant, l’utilisation de ce type de certificat pour intercepter les communications n’est pas nouvelle. Les solutions de sécurité en ont besoin pour vérifier le trafic internet notamment. Alors quelle différence avec la technologie de Komodia ? La réponse est simple : c’est le même certificat que l’on retrouve sur toutes les machines. En d’autres termes, la même clé de chiffrement permet non seulement d’organiser des attaques très facilement contre les machines Lenovo, mais également contre toutes celles qui embarquent l’un des produits puisant dans le savoir-faire de Komodia.

Le problème prend d’autant de l’ampleur qu’on le retrouve chez au moins deux autorités de certification, Lavasoft et Comodo. Pour le premier, c’est le logiciel Ad-aware Web Companion, qui est parfois accolé à certaines solutions antivirales. Pour l’instant, l’éditeur semble être le seul à utiliser une implémentation aussi vulnérable de ce type de stratégie. Selon Ars Technica, AWC pourrait être mis à jour dans la journée pour se débarrasser du problème.

Quant à Comodo, la même technique est utilisée pour son produit PrivDog, sans pour autant provenir de chez Komodia. Malheureusement, le résultat est le même : une fois en place, la plupart des navigateurs acceptent automatiquement tous les certificats auto-signés, ce qui peut, là encore, être facilement exploité par des pirates pour mener les internautes vers des sites frauduleux.

Vérifier ses logiciels et ses certificats installés

L’internaute a dans tous les cas tout intérêt à savoir si le moindre logiciel, quel que soit son objectif, s’amuse à court-circuiter ses connexions sécurisées. Même dans le cas de solutions de sécurité, le risque est tout simplement trop grand. Un site spécifique permet d’indiquer rapidement si SuperFish est installé, ou qu’un autre logiciel s’appuie sur la méthode du certificat de sécurité tout-puissant pour intercepter les connexions SSL. Conçu par le chercheur Filippo Valsorda, il affiche le résultat au bout de quelques secondes. Si un élément quelconque est détecté, il faudra procéder à la désinstallation du logiciel et éventuellement compléter avec une recherche des certificats incriminés, comme nous l’indiquions déjà la semaine dernière.

Sachez d’ailleurs que la procédure de désinstallation d’AWC supprime bien l’ensemble, contrairement à celle de SuperFish. Il semble par ailleurs que le logiciel de Lavasoft ait été mis à jour, malgré l’indication donnée par le produit (dernière version datant du 18 février). D’après nos essais récents, l’installation ne met en place aucun certificat, et le site de Filippo Valsorda n’indique rien.

superfish certificat Filippo Valsorda

Il va surtout falloir que les différentes entreprises impliquées réagissent de manière efficace et transparente. Ce fut le cas de Lenovo il y a quelques jours, qui a ouvertement reconnu le problème, décrit les mesures qui ont été prises et fourni dans la foulée une méthode complète de désinstallation de SuperFish. Ce dernier, par contre, nie actuellement tout problème de sécurité, ce qui est assez surprenant. Son PDG affirme ainsi que les rapports dans la presse sont inexacts et, même s’il reconnait qu’il y a eu un problème, il insiste sur le fait que SuperFish ne stocke pas les données des utilisateurs et ne les partage avec aucun autre éditeur. Ce dont personne ne l’accusait. Une déclaration à mettre en perspective d'une recommandation officielle de désinstallation par le Département américain de la sécurité intérieure.

On notera enfin que dans la journée de vendredi, Microsoft a publié une mise à jour des signatures de son antivirus gratuit Windows Defender (Security Essentials). S’il est actif (et n’est donc pas mis au repos par un autre antivirus), il préviendra l’utilisateur du problème et lui proposera de tout supprimer, y compris le certificat. Attention cependant : comme nous l’indiquions, Firefox dispose de son propre catalogue de certificats, et il faudra se rendre dans le gestionnaire spécifique du navigateur, dans les options.

38 commentaires
Avatar de anonyme_1bf5134079a271df707c7f40edc86fdb INpactien

Ha les quiches et leur surcouche...

Avatar de js2082 INpactien
Avatar de js2082js2082- 23/02/15 à 16:57:12

SuperFish...
En français, ça nous donne l'équivalent de SuperPigeon (poisson/pigeon, attrape-couillon, quoi)
 
Le nom est quand même vachement bien trouvé.
:8

Édité par js2082 le 23/02/2015 à 17:00
Avatar de 2show7 INpactien
Avatar de 2show72show7- 23/02/15 à 17:08:06

C'est triste à dire, mais la plupart s'enfish :transpi:

Avatar de L3 G33K INpactien
Avatar de L3 G33KL3 G33K- 23/02/15 à 17:21:54

Reste que sur les millions de machines vendues, y'en a peut-être 2% qui vont être désinfectées...

 A part ça, ce n'est pas la première fois que des ordinateurs sont vendus avec de la merde préinstallée, c'est le cas de 95% des machines grand public depuis au moins 15 ans...

Avatar de Wawet76 Abonné
Avatar de Wawet76Wawet76- 23/02/15 à 17:23:35

Même si il n'y avait pas eu de problème de sécurité, c'est hallucinant que Lenovo vende des PC avec un logiciel qui ajoute des pubs et modifie les résultats de Google...

Avatar de brice.wernet Abonné
Avatar de brice.wernetbrice.wernet- 23/02/15 à 17:26:40

Wawet76 a écrit :

Même si il n'y avait pas eu de problème de sécurité, c'est hallucinant que Lenovo vende des PC avec un logiciel qui ajoute des pubs et modifie les résultats de Google...

encore pire

Avatar de L3 G33K INpactien
Avatar de L3 G33KL3 G33K- 23/02/15 à 17:30:39

Wawet76 a écrit :

Même si il n'y avait pas eu de problème de sécurité, c'est hallucinant que Lenovo vende des PC avec un logiciel qui ajoute des pubs et modifie les résultats de Google...

Bah...
-Ca rapporte du fric à Lenovo parce que l'éditeur les paie pour qu'ils installent leur merde
-Ca rapporte du fric à Lenovo parce que les clics sur les pubs leur rapportent du fric
-Ca rapporte du fric à Lenovo parce que la merde bouffe les ressources et rend l'ordinateur "obsolète" plus tôt que le matériel ne le permettrait avec un système propre, et donc incite les gens à racheter un PC plus rapidement.

En gros, on en revient toujours au même point : le fric.

Avatar de Winderly Abonné
Avatar de WinderlyWinderly- 23/02/15 à 17:43:27

Un site spécifique permet
d’indiquer rapidement si SuperFish est installé, ou qu’un autre
logiciel s’appuie sur la méthode du certificat de sécurité tout-puissant
pour intercepter les connexions SSL.

Je viens de faire le test (qui a été négatif)
Un grand merci à Filippo
Valsorda pour ce test simple à effectuer.

Avatar de Winderly Abonné
Avatar de WinderlyWinderly- 23/02/15 à 17:44:51

Ben voila, encore une fois je peux pas éditer mon message auquel il manque un point et qui a un retour à la ligne en trop.

Avatar de Winderly Abonné
Avatar de WinderlyWinderly- 23/02/15 à 17:46:17

Wawet76 a écrit :

Même si il n'y avait pas eu de problème de sécurité, c'est hallucinant que Lenovo vende des PC avec un logiciel qui ajoute des pubs et modifie les résultats de Google...

  • 1
Il n'est plus possible de commenter cette actualité.
Page 1 / 4