RSS

Superfish, Lenovo livre ses portables avec un adware

19 Fév

 

Source : ZDNet

Sécurité : Le constructeur Lenovo s’est attiré l’ire de ses clients, lorsque ceux-ci ont découvert un logiciel publicitaire directement installé sur les machines livrées par la société. Le logiciel nommé Superfish injecte de la pub lors des navigations web de l’utilisateur.

Le problème avait été soulevé sur les forums de Lenovo à la fin du mois de janvier : plusieurs clients de la marque chinoise se plaignaient de la présence d’un logiciel nommé Superfish, directement installé sur les ordinateurs récents de la marque. Celui ci avait la fâcheuse habitude d’injecter de la publicité au sein des pages web des utilisateurs sur Internet Explorer ou Chrome.

Interpelé sur les forums, l’un des modérateurs de Lenovo a expliqué que le produit était assumé par la marque et qu’il était censé « aider les utilisateurs à découvrir des produits à bas prix ». Lenovo explique reconnaitre des « problèmes et que celui-ci allait être temporairement retiré des logiciels livrés sur les nouveaux systèmes Lenovo.» Le modérateur précise également que l’utilisateur peut toujours refuser d’accepter les CGU du logiciel lors du premier lancement de la machine, ce qui empêche l’installation du logiciel.

De Charybde en Scylla

Cela aurait pu s’arrêter là, mais de nombreux utilisateurs ont également signalé d’importants risques relatifs à la sécurité des utilisateurs provoqués par ce logiciel indésirable. En effet, le logiciel Superfish a recours a des certificats auto signés. Une pratique problématique : ce certificat auto signé permet en effet à Superfish d’espionner les connexions sécurisées d’un utilisateur avec une banque par exemple, comme l’ont noté plusieurs utilisateurs.

Superfish peut donc déchiffrer des connexions supposées sécurisées afin d’insérer des contenus publicitaires sans que l’utilisateur ne soit averti d’une telle intrusion. Pour beaucoup cela ressemble fort à une attaque man in the Middle telle qu’on la décrit la plupart du temps, avec un tiers indésirable qui s’interpose dans une connexion entre un client et un serveur.

Lorsqu’un navigateur détecte une connexion utilisant un certificat non signé ou signé par une société ne faisant pas partie de ses « tiers de confiance », il signale à l’utilisateur que celle-ci présente un risque. Ce qui n’est pas le cas pour les utilisateurs de Lenovo : Superfish injecte son certificat auto signé afin d’avoir accès aux informations échangées entre le serveur et le client. De fait, le navigateur n’est donc plus en mesure de signaler à l’utilisateur une connexion non sécurisée.

Plus problématique encore : de nombreux utilisateurs notent que la même clef privée est utilisée sur tous les ordinateurs disposant du programme Superfish. Ce qui signifie que si une personne malintentionnée parvenait à mettre la main sur cette clef, en réussissant à extraire la clef chiffrée présente dans le certificat, pourrait facilement intercepter le trafic provenant des ordinateurs Lenovo connectés sur un wifi public, sans que ceux-ci ne se rendent compte de la manœuvre.

Nous avons contacté Lenovo afin d’obtenir plus d’informations sur le sujet et nous mettrons à jour l’article lorsque la société aura publié un communiqué officiel exprimant sa position ou retourné nos demandes de commentaires. Pour les utilisateurs affectés : si la désinstallation de Superfish suffit à s’épargner l’ajout de publicité sur les pages web, il semblerait néanmoins que la désinstallation ne révoque pas automatiquement le certificat.

Publicités
 
Poster un commentaire

Publié par le 19 février 2015 dans Société, Virus

 

Étiquettes : , ,

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

 
%d blogueurs aiment cette page :