Alors que Lenovo doit lutter pour redorer son blason après l’épisode pénible de SuperFish, la société a dû faire face pendant quelques heures au détournement de son domaine, permettant aux pirates de la Lizard Squad de réorienter vers un site spécifique et de récupérer une partie des emails.
Une semaine difficile
Les temps sont durs pour Lenovo. Le constructeur tente actuellement de faire amende honorable après la débâcle du logiciel SuperFish. On rappellera que ce dernier, installé pendant plusieurs mois sur une bonne partie des portables destinés au grand public, se permettait d’introduire des publicités dans les pages web et de changer les résultats après une recherche sur Google.
L’affaire est devenue particulièrement pénible pour Lenovo quand l’existence d’un certificat dangereux a été découverte. La technologie, fournie par la société israélienne Komodia, permettait à SuperFish d’intercepter le trafic SSL afin de ne rien rater de ce que l’internaute pouvait faire. Malheureusement, le certificat était le même pour toutes les machines et la clé de chiffrement a rapidement été trouvée, ouvrant la voie à de nombreux scénarios d’attaques de type « man-in-the-middle ».
Lundi, Lenovo a annoncé que des actions avaient été prises pour régler la situation. SuperFish n’est ainsi plus installé et le service a été coupé. Une procédure et un outil de désinstallation complète ont même été fournis pour aider les utilisateurs à se débarrasser du logiciel et du certificat. Parallèlement, Lenovo a annoncé qu’une réflexion était en cours pour choisir plus proprement ce qui serait installé sur ses machines et fourni dans l’image disque servant à restaurer Windows en cas de gros problème. De quoi apporter de l’eau au moulin de ceux qui prônent la réinstallation d’un système propre et vierge sur une machine neuve pour ne plus avoir à faire aux nombreux outils fournis par défaut.
Après le scandale SuperFish, l'attaque vengeresse
La firme a également dû faire face pendant la nuit, durant quelques heures, à un détournement de son nom de domaine. Elle a été attaquée par les pirates de la Lizard Squad, un groupe qui s’était déjà fait connaître notamment pour les opérations menées contre les services Xbox Live et PlayStation Network durant les fêtes de fin d’année. Le groupe est parvenu à compromettre le compte de Lenovo auprès du registraire Web Commerce Communications et à changer l’adresse IP.
Résultats, les utilisateurs ont été réorientés pendant une courte durée vers un autre site qui affichait essentiellement une photo d’une jeune personne, sans lien apparent avec l’attaque ou les faits reprochés à Lenovo. Mais en cliquant sur l’image, l’internaute était emmené vers le compte Twitter de la Lizard Squard, qui ne mâchait pas ses mots pour critiquer le constructeur et sa volonté d’installer SuperFish sur ses ordinateurs grand public.
Superfish removal bricks some devices? Great work Lenovo pic.twitter.com/phXiBS3KzO
— Lizard Squad (@LizardCircle) 25 Février 2015
Par ailleurs, la prise de contrôle du nom de domaine a permis aux pirates de récupérer une partie du trafic email. Dans un courriel, et selon une capture d’écran publiée par la Lizard Squad, on peut voir une communication un service extérieur de communication et le département adapté, dans laquelle un Yoga 11 aurait été rendu totalement inopérant à la suite du retrait de SuperFish. Moqueries de la Lizard Squad : « Bien joué Lenovo ».
CloudFlare a rapidement réagi
L’attaque ne sera pour autant pas restée longtemps en place. La nouvelle IP définie par les pirates chez Web Commerce Communications pointait en effet vers un site hébergé derrière le service de protection CloudFlare. Marc Rogers, chercheur en sécurité dans cette entreprise, a indiqué à Ars Technica que le compte client avait été saisi et qu’une équipe avait travaillé ensuite avec Lenovo pour aider la société à récupérer son domaine et ses emails.
À l’heure actuelle, tout semble rentré dans l’ordre. Lenovo a réagi auprès du Wall Street Journal pour expliquer qu’une attaque avait bien eu lieu, s’excusant pour la gêne occasionnée. Le constructeur précise que son réseau est en cours d’analyse pour examiner de près les conséquences éventuelles que le piratage aurait pu avoir, ainsi que pour renforcer ses défenses. Il communiquera à nouveau sur le sujet quand tous les éléments auront été réunis.
Commentaires (73)
Si j’avais leur competence de hack, je m’en servirais pour des causes bien plus utiles…
donc en gros: ils sont pas content parce que lenovo a mis un logiciel avec un certificat permettant de faire des attaches man in the middle, donc potentiellement d’espionner tout le monde.
du coup, ils espionnent lenovo et détournent des emails…
logique… non?
en plus, je trouve l’email plutot sympa “mon pc est brické” et la demande “peut on lui en renvoyer un autre?”
je trouve ça plutot positif de la part de lenovo.
C’est un peu des comportement d’enfants capricieux chez la Lizard Squad non ?
Non, c’est des lézards
" />
“ou les frais reprochés à Lenovo”
" />
Ils ne sont pas frais leurs poissons ?
Si ils ont les compétences qu’ils semblent montrer, ils ont moyen de gagner de l’argent honnêtement plutôt que de s’attaquer à lenovo pour des broutilles.
Le groupe est parvenu à compromettre le compte de Lenovo auprès du
registraire Web Commerce Communications et à changer l’adresse IP.
Quelle compétence faut t’il pour faire cela?
Question candide :)
En quoi l’un empêche l’autre ?
Étonnant que l’action de lizard-squad pour infantile qu’elle soit est plus commentée que le cynisme de lenovo
qui installe à l’insu du l’utilisateur, un programme qui pourrit le navigateur de pub, porte atteinte au secret de la correspondance et dont la préoccupation est de faire mieux la prochaine fois.
En tout cas Lenovo me conforte dans mon habitude de faire assembler mes PC.
Aucune, il suffit de faire du social engineering pour récupérer le login/mdp du compte qui permet de se connecter à la gestion du nom de domaine.
on peut voir une communication un service extérieur de communication et le département adapté, dans laquelle un Yoga 11 aurait été rendu totalement inopérant à la suite du retrait de SuperFish.
Je n’ai pas compris cette phrase
qui affichait essentiellement une photo d’une jeune personne
Vous aussi vous avez un doute sur son sexe ?
et toi apprendre à quoter plusieurs personnes enun seul message… merci.
Positif peut être, par contre ça dédommage en rien la personne qui se retrouve avec un PC brické et des fichiers “éventuellement” perdu parce que Lenovo à eu les yeux plus gros que le ventre…
Si pour toi ta vie privée est une broutille, alors je comprends ton message…
certes, ça ne donnes pas une bonne image de la société
Maintenant, faisons les comptes : combien de constructeurs installent des logiciels pourris dans les PC avant la vente? 90%? 100%?
dans l’affaire lenovo est en tort, le développeur du logiciel également, mais aussi tous les constructeurs dont on ne parle pas dans cette affaire.
Par contre, pour avoir expérimenté quelques SAV désastreux, je trouve que ce mail montre au moins que le cas de cette personne a bien été pris en compte.
on est peut être pas au niveau du SAV de logitech (meilleur SAV que j’ai jamais vu!) mais franchement, chercher à remplacer la machine c’est positif. ils auraient pu répondre directement “bonjour, utilisez les CD de restauration, vous avez acheté la machine avec ce logiciel pourri en connaissance de cause”…
Bah pour ma part ma voiture est Coréene.. et je suis persuadé que j’ai largement moins de problème que la plupart des voitures Françaises / Allemandes.
150 000 Km et jamais rien changé à part les pneus/feins/ampoules.
Le consommable quoi.
J’étais renault avant.. et peugeot.. ben put*** j’ai jamais autant galéré…
Voilà pour ma vie personnelle :)
Ce n’est pas parce qu’on critique l’action des Lizard Squad que l’on est les laquais de Lenovo. Ce qu’ils ont fait n’en reste pas moins anormal et scandaleux. Pour autant, l’action des Lizard Squad ne sert à rien, agir de la sorte alors que l’affaire a déjà été révélée, dans quel but ?
On va pas les plaindre, il ont installé de la mer#* il la récolte c’est tout. A quand des PC vendu juste avec l’OS et rien d’autre ?
Sans drivers donc?
Dingue ce que l’on peut faire quand on s’fait vraiment chier 
" />
Heu non. A quand les ordinateur disponible juste SANS système d’exploitation.
J’sens que ça va sworder niveau commentaires XD
Pas possible pour les Michus. Il faut un ordi clef en main pour le grand public… mais sans cripleware.
oui parce qu’en général il te parle en anglais (voire il te parle tout court alors que toi, tu avais juste prévu de cliquer)
Je grossis le trait mais c’est à peu près ça
Oui mais après ? Un système out of the box c’est difficile sur du nouveau matos. La plupart des gens n’ont qu’une vague idée du concept de driver. Il vont se demander pourquoi leur affichage est tout moche ou pourquoi ils n’ont pas de son, pas de “wifi”… en gros le matos pas détecté par l’os.
Je connais des gens qui ne savent pas faire la différence entre Yahoo et Internet Explorer alors mettre une clé USB de boot pour installer un OS.
" />
Ouai mais c’est pas parce que les gens sont débiles qu’il faut cautionner non plus.
" />
Dans la vie de tous les jours il y a plein de choses qu’on ne sait pas et .. oh tiens.. on s’informe pour être moins con après.
C’est débile de se dire “tiens parce que les gens sont trop glands pour apprendre à mettre une clef usb et faire l’effort de comprendre qu’il faut faire suivant suivant terminé” alors il faut qu’on les assiste pour tout.
On arrive de plus en plus dans le cas du film “idiocracy”…
Je ne suis pas mécano mais je sais comment marche une voiture.. je suis pas médecin mais je sais comment fonctionne le corps humain..
C’est trop demandé aux gens d’arrêter d’abrutir les michu en leur donnant des excuses parce qu’ils sont trop fainéants pour se sortir les …. et devenir un peu plus responsable au jour le jour de leurs actions??
Désolé c’était un message de la LICRA : Ligue Incomprise des Crétins Raleurs Anonymes…..
Si le boot usb est activé, et que l’installation des drivers et de l’OS est scriptée, ce qui est largement faisable pour des boîtes capables de développer des crapwares, il n’y absolument pas de soucis à proposer un pc vierge avec une clé usb d’installation.
Je comprends, mais les constructeurs, eux ils veulent juste vendre leur matos et si pour ça il faut que le client se sente valorisé alors qu’en fait il n’y comprend rien, bah ils le feront.
" />
Pour le coup, s’attaquer à Lenovo (cf Wiki : Lenovo (联想) est une entreprise chinoise fabriquant principalement des ordinateurs, téléphones, stations de travail, serveurs informatiques et télévisions connectées. Fondée en 1984 par Liu Chuanzhi, la marque s’est fait connaître mondialement en 2005 en rachetant la division informatique personnelle d’IBM devenant ainsi le 1er constructeur mondial de PC), ça risque de se retourner contre eux…
Ils sont loin de pas avoir les compétences dans leurs teams pour retrouver les hackeurs… Je me trompe peut-être, mais bon.
Même pas besoin de ca.
Une petite partition cachée avec l’OS installable dessus, tu bootes la 1ere fois et ca lance l’installation à partir de la partition….
Franchement l’argument “ouais mais les michus sont nuls il faut les tenir par la main” c’est un argument daubé. Nous n’avons pas à nous taper des malwares et de la vente liée à cause de l’ignorance des michus.
Le boulet, il m’a filé 50 euros pour réparer … j’ai allumé … ouvert le lecteur … retiré le disque … 20 secondes de travail.
" />
J’aime bien les boulets