>
Vous êtes ici
» Retour à la liste
Un adware livré avec les machines Lenovo
Le 19 / 02 / 2015

 

Lenovo est au cœur d’un scandale sur la sécurité de ses machines. Le constructeur installe non seulement un adware qui injecte des publicités dans les résultats de recherche et dans certaines pages, mais également un certificat racine qui peut théoriquement permettre un espionnage direct de toutes les connexions sécurisées. Explications.

SuperFish, l'adware et le certificat de sécurité

SuperFish : tel est le nom d’un petit programme que l’on retrouve sur les PC portables vendus par Lenovo. Quand l’utilisateur navigue sur le web, cet adware injecte des informations dans les résultats de Google, ainsi que sur d’autres sites, sans demander évidemment la permission de l’utilisateur. Pour l’instant, seuls Internet Explorer et Chrome semblent touchés par le problème, Firefox gérant son catalogue de sécurité à part.

En tant que tel, le problème est déjà sérieux. En effet, pourquoi insister sur la publicité puisque la machine a été dûment payée ? Pour Lenovo, il n’y avait pas de problème en janvier sur le fond-même de SuperFish, le responsable Mark Hopkins indiquant que cela permettait d’aider les utilisateurs à découvrir et trouver d’autres produits, tout en les informant d’offres comparables, ou moins chères, s’ils étaient en train de se renseigner sur des produits particuliers. Il notait cependant qu’une mise à jour était nécessaire car les publicités étaient parfois envahissantes, voire apparaissaient sous forme de popups.

Mais le vrai problème vient d’un certificat racine installé par SuperFish pour pouvoir réaliser ces injections. Et il semble clairement que Lenovo ait sorti le canon pour tuer le moustique, car la technique est généralement utilisée par les pirates dans le cas d’attaques de type « man-in-the-middle », aboutissant au vol d’informations. Car, en tant que tel, le certificat racine est accepté par la machine et permet d’espionner directement n’importe quelle connexion sécurisée, y compris celle permettant d’utiliser le site d’une banque par exemple.

Le certificat pourrait être utilisé par les pirates pour récupérer des données sensibles

Les premiers rapports sur la présence de SuperFish remontent à avril 2014 et un utilisateur avait même créé une vidéo en novembre dernier pour expliquer comment supprimer ce logiciel. Mais la problématique prend de l’ampleur à cause du certificat de sécurité et de l’absence complète de réflexion qui semble accompagner une telle action, tant les répercussions peuvent être nombreuses. Car soit Lenovo procède ainsi intentionnellement, soit c’est la seule solution trouvée afin d’injecter des publicités.

En tant que tel,  le certificat racine pourrait en fait se faire passer pour n’importe quel autre certificat. Le problème est sérieux, mais devient ubuesque quand on sait que c’est la même clé privée qui est utilisée pour le signer sur chaque machine de Lenovo. En d’autres termes, il suffit à une personne d’extraire la clé puis de monter un serveur ou de se positionner dans un réseau Wi-Fi public pour espionner toutes les connexions des machines Lenovo. Or, tout porte à croire que cette clé a déjà été extraite, ce qui pose un risque immédiat pour tous les utilisateurs concernés.

superfish

Et les acteurs concernés sont parfaitement au courant de la situation. Comme noté il y a quelques heures par Nick Semenkovich, doctorant au MIT, SuperFish propose un patch contenant « Patch for Lenovo - do not run on https sites », signe que le danger a bien été détecté. Et Lenovo a également réagi ce midi pour indiquer non seulement que le logiciel n’était plus installé sur les nouvelles machines, mais qu’il avait été également désactivé pour les actuelles.

Se débarrasser du dangereux certificat 

Par ailleurs, si désinstaller SuperFish est assez facile, la procédure ne supprime pas le certificat pour autant. Pour y parvenir, il faut chercher dans Windows le gestionnaire de certificats, que l’on peut trouver en écrivant « gérer les certificats ». Une fois la console ouverte, il faut ouvrir le dossier « Autorités de certification racine tierce partie », puis « Certificats ». Il faut alors chercher la ligne SuperFish puis supprimer le certificat associé.

Ceux qui aimaient faire une réinstallation propre de Windows après l’achat d’une nouvelle machine chez un constructeur ne changeront en tout cas pas leurs habitudes, sans parler de la très mauvaise publicité que Lenovo récolte actuellement. Alors que l’on s’avance vers le deuxième anniversaire des révélations d’Edward Snowden, les actions de Lenovo risquent d’engendrer une crise de confiance de la clientèle non seulement envers ses propres machines, mais également celles des autres constructeurs. Car si Lenovo procède ainsi, pourquoi pas d’autres ?

superfish

Source: NextInpact