Alors que Lenovo doit lutter pour redorer son blason après l’épisode pénible de SuperFish, la société a dû faire face pendant quelques heures au détournement de son domaine, permettant aux pirates de la Lizard Squad de réorienter vers un site spécifique et de récupérer une partie des emails.
Une semaine difficile
Les temps sont durs pour Lenovo. Le constructeur tente actuellement de faire amende honorable après la débâcle du logiciel SuperFish. On rappellera que ce dernier, installé pendant plusieurs mois sur une bonne partie des portables destinés au grand public, se permettait d’introduire des publicités dans les pages web et de changer les résultats après une recherche sur Google.
L’affaire est devenue particulièrement pénible pour Lenovo quand l’existence d’un certificat dangereux a été découverte. La technologie, fournie par la société israélienne Komodia, permettait à SuperFish d’intercepter le trafic SSL afin de ne rien rater de ce que l’internaute pouvait faire. Malheureusement, le certificat était le même pour toutes les machines et la clé de chiffrement a rapidement été trouvée, ouvrant la voie à de nombreux scénarios d’attaques de type « man-in-the-middle ».
Lundi, Lenovo a annoncé que des actions avaient été prises pour régler la situation. SuperFish n’est ainsi plus installé et le service a été coupé. Une procédure et un outil de désinstallation complète ont même été fournis pour aider les utilisateurs à se débarrasser du logiciel et du certificat. Parallèlement, Lenovo a annoncé qu’une réflexion était en cours pour choisir plus proprement ce qui serait installé sur ses machines et fourni dans l’image disque servant à restaurer Windows en cas de gros problème. De quoi apporter de l’eau au moulin de ceux qui prônent la réinstallation d’un système propre et vierge sur une machine neuve pour ne plus avoir à faire aux nombreux outils fournis par défaut.
Après le scandale SuperFish, l'attaque vengeresse
La firme a également dû faire face pendant la nuit, durant quelques heures, à un détournement de son nom de domaine. Elle a été attaquée par les pirates de la Lizard Squad, un groupe qui s’était déjà fait connaître notamment pour les opérations menées contre les services Xbox Live et PlayStation Network durant les fêtes de fin d’année. Le groupe est parvenu à compromettre le compte de Lenovo auprès du registraire Web Commerce Communications et à changer l’adresse IP.
Résultats, les utilisateurs ont été réorientés pendant une courte durée vers un autre site qui affichait essentiellement une photo d’une jeune personne, sans lien apparent avec l’attaque ou les faits reprochés à Lenovo. Mais en cliquant sur l’image, l’internaute était emmené vers le compte Twitter de la Lizard Squard, qui ne mâchait pas ses mots pour critiquer le constructeur et sa volonté d’installer SuperFish sur ses ordinateurs grand public.
Superfish removal bricks some devices? Great work Lenovo pic.twitter.com/phXiBS3KzO
— Lizard Squad (@LizardCircle) 25 Février 2015
Par ailleurs, la prise de contrôle du nom de domaine a permis aux pirates de récupérer une partie du trafic email. Dans un courriel, et selon une capture d’écran publiée par la Lizard Squad, on peut voir une communication un service extérieur de communication et le département adapté, dans laquelle un Yoga 11 aurait été rendu totalement inopérant à la suite du retrait de SuperFish. Moqueries de la Lizard Squad : « Bien joué Lenovo ».
CloudFlare a rapidement réagi
L’attaque ne sera pour autant pas restée longtemps en place. La nouvelle IP définie par les pirates chez Web Commerce Communications pointait en effet vers un site hébergé derrière le service de protection CloudFlare. Marc Rogers, chercheur en sécurité dans cette entreprise, a indiqué à Ars Technica que le compte client avait été saisi et qu’une équipe avait travaillé ensuite avec Lenovo pour aider la société à récupérer son domaine et ses emails.
À l’heure actuelle, tout semble rentré dans l’ordre. Lenovo a réagi auprès du Wall Street Journal pour expliquer qu’une attaque avait bien eu lieu, s’excusant pour la gêne occasionnée. Le constructeur précise que son réseau est en cours d’analyse pour examiner de près les conséquences éventuelles que le piratage aurait pu avoir, ainsi que pour renforcer ses défenses. Il communiquera à nouveau sur le sujet quand tous les éléments auront été réunis.