Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

L’affaire SuperFish révèle un problème de sécurité plus vaste avec les certificats

Merci Lenovo

L'affaire SuperFish révèle un problème de sécurité plus vaste avec les certificats

Le 23 février 2015 à 16h50

Il y a quelques jours, Lenovo devait s’excuser pour avoir installé un adware, SuperFish, sur une partie de ses ordinateurs portables et provoqué une grande inquiétude sur la sécurité d’un certificat auto-signé. Or, la technologie qui se cache dans SuperFish est exploitée par d’autres produits, élargissant de manière importante le risque encouru par les internautes.

Une mauvaise publicité pour Lenovo

Lenovo a livré pendant des années SuperFish avec ses portables destinés au grand public. Derrière ce nom se cache un logiciel capable, via un certificat auto-signé, d’intercepter les communications SSL pour insérer du contenu de son choix. Dans la pratique, il s’agit d’un adware puisque SuperFish avait surtout pour mission d’intégrer de la publicité dans des pages web et de modifier les résultats de recherche sur Google.

Lenovo a fini par s’excuser en indiquant que SuperFish n’était plus installé sur ses nouvelles machines depuis le mois dernier et que le service était désactivé depuis peu sur les portables existants. Le constructeur emboitait le pas des nombreux sites ayant relayé l’information et fournissait une procédure complète de désinstallation, tant pour SuperFish que pour le certificat de sécurité. Depuis, il met même à disposition un outil pour s'occuper complètement du travail.

Le certificat de tous les dangers

C’est ce dernier qui pose véritablement problème, car sa clé de chiffrement a rapidement été extraite, prouvant qu’il est très simple de réaliser des attaques de type « man-in-the-middle » avec les machines Lenovo, puisque c’est précisément ce que fait SuperFish. Cette technologie provient d’une entreprise israélienne, Komodia, qui la fournit à d’autres sociétés, avec le même problème à chaque fois.

Alors même qu'un recours collectif est actuellement en formation outre-Atlantique, on découvre en effet qu'il existe plus d’une douzaine de produits, issus de sociétés telles que CartCrunch Israel, WiredTools, Say Media Group, Over the Rainbow Tech, System Alerts, ArcadeGiant, Objectify Media, Catalytix Web Services ou encore OptimizerMonitor. Matt Richard, chercheur en sécurité chez Facebook, a d’ailleurs publié samedi un long billet explicatif sur la situation. À chaque fois, on retrouve les fichiers DLL de Komodia, et toujours dans le but d’intercepter des communications SSL. L’un des produits utilisant la technologie, Nurjax, est même référencé en tant que malware par Symantec depuis décembre.

La technique n'est pas nouvelle, mais l'implémentation est mauvaise

Cependant, l’utilisation de ce type de certificat pour intercepter les communications n’est pas nouvelle. Les solutions de sécurité en ont besoin pour vérifier le trafic internet notamment. Alors quelle différence avec la technologie de Komodia ? La réponse est simple : c’est le même certificat que l’on retrouve sur toutes les machines. En d’autres termes, la même clé de chiffrement permet non seulement d’organiser des attaques très facilement contre les machines Lenovo, mais également contre toutes celles qui embarquent l’un des produits puisant dans le savoir-faire de Komodia.

Le problème prend d’autant de l’ampleur qu’on le retrouve chez au moins deux autorités de certification, Lavasoft et Comodo. Pour le premier, c’est le logiciel Ad-aware Web Companion, qui est parfois accolé à certaines solutions antivirales. Pour l’instant, l’éditeur semble être le seul à utiliser une implémentation aussi vulnérable de ce type de stratégie. Selon Ars Technica, AWC pourrait être mis à jour dans la journée pour se débarrasser du problème.

Quant à Comodo, la même technique est utilisée pour son produit PrivDog, sans pour autant provenir de chez Komodia. Malheureusement, le résultat est le même : une fois en place, la plupart des navigateurs acceptent automatiquement tous les certificats auto-signés, ce qui peut, là encore, être facilement exploité par des pirates pour mener les internautes vers des sites frauduleux.

Vérifier ses logiciels et ses certificats installés

L’internaute a dans tous les cas tout intérêt à savoir si le moindre logiciel, quel que soit son objectif, s’amuse à court-circuiter ses connexions sécurisées. Même dans le cas de solutions de sécurité, le risque est tout simplement trop grand. Un site spécifique permet d’indiquer rapidement si SuperFish est installé, ou qu’un autre logiciel s’appuie sur la méthode du certificat de sécurité tout-puissant pour intercepter les connexions SSL. Conçu par le chercheur Filippo Valsorda, il affiche le résultat au bout de quelques secondes. Si un élément quelconque est détecté, il faudra procéder à la désinstallation du logiciel et éventuellement compléter avec une recherche des certificats incriminés, comme nous l’indiquions déjà la semaine dernière.

Sachez d’ailleurs que la procédure de désinstallation d’AWC supprime bien l’ensemble, contrairement à celle de SuperFish. Il semble par ailleurs que le logiciel de Lavasoft ait été mis à jour, malgré l’indication donnée par le produit (dernière version datant du 18 février). D’après nos essais récents, l’installation ne met en place aucun certificat, et le site de Filippo Valsorda n’indique rien.

superfish certificat Filippo Valsorda

Il va surtout falloir que les différentes entreprises impliquées réagissent de manière efficace et transparente. Ce fut le cas de Lenovo il y a quelques jours, qui a ouvertement reconnu le problème, décrit les mesures qui ont été prises et fourni dans la foulée une méthode complète de désinstallation de SuperFish. Ce dernier, par contre, nie actuellement tout problème de sécurité, ce qui est assez surprenant. Son PDG affirme ainsi que les rapports dans la presse sont inexacts et, même s’il reconnait qu’il y a eu un problème, il insiste sur le fait que SuperFish ne stocke pas les données des utilisateurs et ne les partage avec aucun autre éditeur. Ce dont personne ne l’accusait. Une déclaration à mettre en perspective d'une recommandation officielle de désinstallation par le Département américain de la sécurité intérieure.

On notera enfin que dans la journée de vendredi, Microsoft a publié une mise à jour des signatures de son antivirus gratuit Windows Defender (Security Essentials). S’il est actif (et n’est donc pas mis au repos par un autre antivirus), il préviendra l’utilisateur du problème et lui proposera de tout supprimer, y compris le certificat. Attention cependant : comme nous l’indiquions, Firefox dispose de son propre catalogue de certificats, et il faudra se rendre dans le gestionnaire spécifique du navigateur, dans les options.

Commentaires (38)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Franchement j’en doute fortement.



Je ne veux pas généraliser mais de ce que j’en vois à travers un petit cousin, c’est de passer son temps devant des vidéos de Cyprien avec des tests de jeux complètement bidons. Franchement ça me désole quand je vois ca.

votre avatar







woodcutter a écrit :



Franchement j’en doute fortement.



Je ne veux pas généraliser mais de ce que j’en vois à travers un petit cousin, c’est de passer son temps devant des vidéos de Cyprien avec des tests de jeux complètement bidons. Franchement ça me désole quand je vois ca.





C’est même plus simple que ca : quand bien même l’information contenue sur le net serait totalement vraie, intéressante et instructive, ca n’en rendrait pas les gens moins cons pour autant.



Ne pas être con implique d’avoir raisonné soi même plusieurs informations, et surtout d’avoir pris le temps de chercher des réponses par soi même, par l’expérience, par l’observation.



Quand tu as une masse de réponses accessibles en un clic partout et tout le temps, tu ne te prends plus la tête à reflechir : tu cliques, tu ecris ta question (ou tu la demandes à Siri ou GNow), t’as ta réponse… Enfin t’as une réponse…

Quand la question entraine une réponse binaire (oui ou non), ca va.

Quand la question est complexe et que donc la réponse aussi, ou que tout simplement il n’y a pas de réponse, là ca se complique….

Quand c’est pas la réponse en soi qui est intéressante mais le cheminement qui y amène, là aussi ca devient complexe…



La fainéantise mentale et ses conséquences prendront vite le pas sur le petit gain apporté en soi par le surcroit d’infos disponibles….

Ca se constate déjà sur le sujet de la mémoire, ou sur celui du calcul mental, avec tous les outils modernes…

Ca se constate d’ailleurs déjà chez les étudiants, même en université… Les profs sont obligés d’avoir recours à des softs antiplagiat du net…


votre avatar







TBirdTheYuri a écrit :



Reste que sur les millions de machines vendues, y’en a peut-être 2% qui vont être désinfectées…





Microsoft et Mozilla peuvent-ils (techniquement) fournir une update transparente qui révoquerait cette Autorité de Certification ?



Ça permettrait de nettoyer les PC des noobs d’un coup.


votre avatar







Lnely a écrit :



Mais bon, la génération internet arrive, c’est bientot terminé tout ça :)







La génération “clic , next, accept, clic, ok, clic, yes i’m sure, clic” ?


votre avatar

La génération qui vit dans le milieu hyper simplifié d’iOS/Android ?

votre avatar

un peu HS :

je viens de découvrir CACert pour la certification. ça a l’air beaucoup plus sain que ces boites de certification dont on ne connait finalement rien…

votre avatar







127.0.0.1 a écrit :



La génération “clic , next, accept, clic, ok, clic, yes i’m sure, clic” ?





C’est celle là ! A cause de ça, justement, ça a installé une méga-cochonnerie de rootkit sur le PC d’un proche, qui utilisait (tadaaa) les produits de komodia (le rootkit, pas le proche :)), style cartcrush Israel pour certaines dll, pour injecter des pubs (et pas juste une ou deux pubs, mais une bonne quinzaine même sur la page d’accueil de google !), rendant la navigation inutilisable.



Et à ce moment-là (fin c’était décembre), impossible à supprimer ce truc via tous les outils que j’avais pu tester (y compris ceux sur boot usb).. Depuis les outils se sont mis à jour, heureusement, mais voilà une des autres problématiques qui découlent de ce truc de chez Komodia :(


votre avatar

Une petite question:

SuperFish (et Lenovo) ne tombent-ils pas sous le coup de la loi ? En effet l’article 323-1 nous énonce “Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30000 euros d’amende.”. Hors il y a ici intrusion dans une communication SSL pour en analyser le contenu sans consentement de l’utilisateur.

votre avatar

910

votre avatar







Kamalen a écrit :



La génération qui vit dans le milieu hyper simplifié d’iOS/Android ?





Elle est plus informée que celle qui n’avait pas internet à l’époque :)


votre avatar







unCaillou a écrit :



Microsoft et Mozilla peuvent-ils (techniquement) fournir une update transparente qui révoquerait cette Autorité de Certification ?



Ça permettrait de nettoyer les PC des noobs d’un coup.





Il me semble que Firefox n’est pas touché par SuperFish car il gère ses certificats en interne et non avec le système. À confirmer.


votre avatar







marba a écrit :



Il me semble que Firefox n’est pas touché par SuperFish car il gère ses certificats en interne et non avec le système. À confirmer.





A priori si, les produits Mozilla sont aussi touchés.

Je sais pas comment fait l’adware, il a surement un processus qui tourne et vérifie si tu installes Firefox ou si tu crée un nouveau profil pour y injecter immédiatement son certificat.

Un truc de fou cette histoire.


votre avatar

Y a surement une petite ligne dans le contrat d’achat qui stipule qu’en achetant la machine, tu acceptes toutes les merdes validées par Lenovo.

votre avatar







unCaillou a écrit :



A priori si, les produits Mozilla sont aussi touchés.

Je sais pas comment fait l’adware, il a surement un processus qui tourne et vérifie si tu installes Firefox ou si tu crée un nouveau profil pour y injecter immédiatement son certificat.

Un truc de fou cette histoire.





Ah oui… Si c’est le cas ça va un peu plus loin qu’un «simple» changement de certificats à la volée…

C’est un virus en fait !


votre avatar

J’ai ça comme certificats douteux : à supprimer ?



http://hpics.li/15387c0



DigiNotar, je pense que oui, mais le reste ?

votre avatar

Informée en quoi ? Même sur Android et iOS, ils arrivent a avoir un tas de malwares…

votre avatar







Kamalen a écrit :



Informée en quoi ? Même sur Android et iOS, ils arrivent a avoir un tas de malwares…





Informée en tout, tu crois qu’un gamin de 15 ans il en sait pas déjà plus sur internet (en general) que la plupart des plus agés de l’ancienne generation ?



Je prends exemple par exemple avec mon petit cousin, à 6 an et demi il a deja une tab, il sait aller dans le store et prendre ses jeux, ludiques ou non. C’est à peine si ma mère sait le faire&nbsp;<img data-src=" />



Bon ma mère et l’informatique ça fait deux, mais je veux juste démontrer (même si ça dépend beaucoup des gens) que la nouvelle generation est bien plus informée et formaté pour utiliser internet.



Vous vous croyez peut être plus intelligent à l’heure actuelle, mais dans 20 ans, quand ces enfants là auront grandi et qu’ils auront votre age, eux aussi diront “ouai mais ces gamins sont pas informés”, et nous on aura la place de ma bonne vielle maman sauf qu’on va pas galerer sur un store, mais sur autre chose.



C’est juste l’évolution et on peut pas nier que celle ci sera toujours à l’avantage des enfants puisqu’ils baignent deja dans internet, les tablettes, les smartphones, tout ça avec bercé par la wifi et la 4g+.&nbsp;



Après ya la sécurité, ça c’est autre chose, perso je suis pas spécialement formé pour, j’ai un anti virus, W8.1, adblock et j’ai pas de soucis et j’en ai jamais eu depuis que j’ai un ordi.



Je pense pas que la generation internet qui arrive sera stupide et c’est la releve. ils en sauront bien plus que nous à terme.



Et au passage même quelqu’un qui connait bien son smartphone peut avoir des merdes dessus.

Et cet article prouve encore une fois que même certain utilisateur avancé peuvent se faire “avoir”.



Donc bon, bref


votre avatar







Lnely a écrit :



Je prends exemple par exemple avec mon petit cousin, à 6 an et demi il a deja une tab, il sait aller dans le store et prendre ses jeux, ludiques ou non. C’est à peine si ma mère sait le faire&nbsp;<img data-src=" />



Bon ma mère et l’informatique ça fait deux, mais je veux juste démontrer (même si ça dépend beaucoup des gens) que la nouvelle generation est bien plus informée et formaté pour utiliser internet.





Demande a ton cousin, pour prendre ton exemple, s’il sait ce qu’est une clef CD. A moins qu’il n’utilise déja Steam, il n’en aura jamais entendu parler. &nbsp;Et ne va probablement pas chercher, parce qu’il s’en fiche.

&nbsp;

S’il sait utiliser sa tablette, ça n’est pas parce qu’il a passé des heures de recherches sur Google ou avec le manuel, mais parce que ces OS ont été concus avec une interface hyper simplifiée. Au premier lancement d’Android, pour ce que je connais, tu as des bulles d’assistance partout pour chaque élément de l’écran d’accueil.

Si ta mère ne sait pas le faire, c’est avant tout parce qu’elle n’a pas du vraiment essayer en premier lieu. Par exemple à cause de la fameuse “peur de faire une connerie” sur tout ce qui a un processeur.



Non, la prochaine génération ne sera pas plus compétente dans le domaine. Pas parce qu’ils sont plus ou moins cons, mais parce que les systèmes futurs seront de plus en plus simple a utiliser, et dans le même temps de plus en plus verrouillés. Ils n’auront ni le besoin ni la possibilité de bidouiller.

&nbsp;&nbsp;





Lnely a écrit :



Et au passage même quelqu’un qui connait bien son smartphone peut avoir des merdes dessus.

Et cet article prouve encore une fois que même certain utilisateur avancé peuvent se faire “avoir”.





Dans l’article, c’est du préinstallé. Tout les clients Lenovo, spécialistes ou pas, n’ont pas eu le choix de se faire “avoir”. Et c’est pas en s’informant simplement qu’on aurait pu découvrir l’ampleur du problème.


votre avatar

Même si il n’y avait pas eu de problème de sécurité, c’est hallucinant que Lenovo vende des PC avec un logiciel qui ajoute des pubs et modifie les résultats de Google…

votre avatar







Wawet76 a écrit :



Même si il n’y avait pas eu de problème de sécurité, c’est hallucinant que Lenovo vende des PC avec un logiciel qui ajoute des pubs et modifie les résultats de Google…





encore pire


votre avatar







Wawet76 a écrit :



Même si il n’y avait pas eu de problème de sécurité, c’est hallucinant que Lenovo vende des PC avec un logiciel qui ajoute des pubs et modifie les résultats de Google…





Bah…

-Ca rapporte du fric à Lenovo parce que l’éditeur les paie pour qu’ils installent leur merde

-Ca rapporte du fric à Lenovo parce que les clics sur les pubs leur rapportent du fric

-Ca rapporte du fric à Lenovo parce que la merde bouffe les ressources et rend l’ordinateur “obsolète” plus tôt que le matériel ne le permettrait avec un système propre, et donc incite les gens à racheter un PC plus rapidement.



En gros, on en revient toujours au même point : le fric.


votre avatar



Un site spécifique&nbsp;permet

d’indiquer rapidement si SuperFish est installé, ou qu’un autre

logiciel s’appuie sur la méthode du certificat de sécurité tout-puissant

pour intercepter les connexions SSL.



Je viens de faire le test (qui a été négatif)

Un grand merci à Filippo

Valsorda pour ce test simple à effectuer.

votre avatar

Ben voila, encore une fois je peux pas éditer mon message auquel il manque un point et qui a un retour à la ligne en trop.

votre avatar







Wawet76 a écrit :



Même si il n’y avait pas eu de problème de sécurité, c’est hallucinant que Lenovo vende des PC avec un logiciel qui ajoute des pubs et modifie les résultats de Google…







  • 1


votre avatar

test positif mais sur opera 12.17&nbsp;

<img data-src=" />&nbsp;va falloir commencer a penser à le changer tout de même pfff

votre avatar

Ça ne m’étonne même pas.. Les smart watches aussi font de la pub, non ?

votre avatar

<img data-src=" />&nbsp;bon j’ai fait du ménage dans les extensions inutiles et c bon ca passe maintenant&nbsp;

votre avatar

Oui, les windows et ses bloatwares installés par les revendeurs.



Allez-y continuez à acheter les moutons ! <img data-src=" />





Quand même rien ne vaut une bonne machine vierge de tout O.S. et sa propre installation bien clean de l’O.S. de son choix.

votre avatar







Bylon a écrit :



Oui, les windows et ses bloatwares installés par les revendeurs.



Allez-y continuez à acheter les moutons ! <img data-src=" />





Quand même rien ne vaut une bonne machine vierge de tout O.S. et sa propre installation bien clean de l’O.S. de son choix.





Oui mais le grand public n’est pas spécialement informé sur l’achat d’une clé valable à vie. Il sait peut être pas spécialement que Windows à une clé^^



Mais bon, la génération internet arrive, c’est bientot terminé tout ça :)


votre avatar

C’est la société Komodia qui fout ce boxon.

votre avatar







Lnely a écrit :



Mais bon, la génération internet arrive, c’est bientot terminé tout ça :)





Ou pas…



<img data-src=" />


votre avatar







diabolos29 a écrit :



Ou pas…



<img data-src=" />





De plus en plus de monde baignent dans internet, et ce des le plus jeune age^^ &nbsp;et les gens deviennent de moins en moins con vu qu’ils s’informent très rapidement. On verra à terme^^


votre avatar







Lnely a écrit :



De plus en plus de monde baignent dans internet, et ce des le plus jeune age^^  et les gens deviennent de moins en moins con vu qu’ils s’informent très rapidement. On verra à terme^^





J’aurais plutôt dit qu’ils deviennent de plus en plus cons avec le net, car justement ils se desinforment de plus en plus rapidement.



Internet c’est pas que de l’info, c’est d’ailleurs à mon avis majoritairement de la desinformation, ou plutôt de la mésinformation…


votre avatar







Lnely a écrit :



De plus en plus de monde baignent dans internet, et ce des le plus jeune age^^ &nbsp;et les gens deviennent de moins en moins con vu qu’ils s’informent très rapidement. On verra à terme^^





C’est tout vu, les gens continuerons de se planter lamentablement par manque d’information et de connaissances.

&nbsp;





Drepanocytose a écrit :



J’aurais plutôt dit qu’ils deviennent de plus en plus cons avec le net, car justement ils se desinforment de plus en plus rapidement. 



Internet c'est pas que de l'info, c'est d'ailleurs à mon avis majoritairement de la desinformation, ou plutôt de la mésinformation...






<img data-src=" />

J’ajoute que l’informatique et les technologies liées sont de plus en plus complexes et ramifiées ; et donc demandent de plus en plus de temps à apprendre, comprendre et utiliser.



Cela va de pair avec les pondeurs d’articles/divers média qui, comme tu le dis, mésinforment les gens avec des montagnes de conneries.


votre avatar

Ha les quiches et leur surcouche…

votre avatar

SuperFish…

En français, ça nous donne l’équivalent de SuperPigeon (poisson/pigeon, attrape-couillon, quoi)

&nbsp;

Le nom est quand même vachement bien trouvé.

<img data-src=" />

votre avatar

C’est triste à dire, mais la plupart s’enfish <img data-src=" />

votre avatar

Reste que sur les millions de machines vendues, y’en a peut-être 2% qui vont être désinfectées…



&nbsp;A part ça, ce n’est pas la première fois que des ordinateurs sont vendus avec de la merde préinstallée, c’est le cas de 95% des machines grand public depuis au moins 15 ans…

L’affaire SuperFish révèle un problème de sécurité plus vaste avec les certificats

  • Une mauvaise publicité pour Lenovo

  • Le certificat de tous les dangers

  • La technique n'est pas nouvelle, mais l'implémentation est mauvaise

  • Vérifier ses logiciels et ses certificats installés

Fermer