Lenovo propose un outil de suppression de l’adware Superfish

C’est vendredi soir dernier que Lenovo a publié un outil de suppression de l’adware Superfish, un utilitaire qui supprime également le certificat autosigné.

Lenovo est au centre de la polémique depuis que l’on sait que le constructeur d’ordinateur chinois a préinstallé un adware sur ses PC portables, une situation d’autant plus problématique que ce malware espionnait les communications de l’utilisateur et était en plus vulnérable.

À l’origine, l’idée de Lenovo était de préinstaller Superfish sur ses ordinateurs portables dans le but de générer des revenus supplémentaires en proposant de la publicité aux internautes.
Une telle pratique consistant à déployer volontairement un adware a de quoi être dérangeante. Elle l’est d’autant plus que, via un certificat autosigné, ce malware pouvait même scanner les communications sécurisées par SSL.

En sachant cela, ce sont les experts en sécurité qui ont relancé la polémique en dénonçant la curiosité de Superfish, comme Ken Westin, analyste de la sécurité chez la firme de sécurité Tripwire, qui a dénoncé qu’il s’agissait d’« une menace pour l’intimité et la sécurité » des utilisateurs.

Pour agir, Superfish installait une autorité de certification racine dans le magasin de certificats Windows et celui de Firefox, puis resignait tous les certificats présents disponibles pour le HTTPS. Cela permettait à un navigateur d’approuvé des faux certificats autogénérés par Superfish, et à cet adware de pouvoir espionner même les communications soi-disant sécurisées.

En apprenant cela, l’enjeu pour tous les hackers était bien évidemment de trouver le mot de passe qui protégeait le certificat de Superfish dans le but de pouvoir lancer eux-mêmes des attaques man-in-the-middle.

Ce craquage s’est avéré très facile vu que Robert Graham a révélé qu’il s’agissait de « komodia ».

Étant donné que la vulnérabilité de Superfish est d’un coup devenue de notoriété publique, Lenovo a enfin décidé d’agir. Affirmant toujours ne pas connaitre l’existence de cette vulnérabilité jusqu’à son annonce, le groupe chinois a tout d’abord révoqué son certificat avant d’annoncer la sortie d’un outil de suppression de Superfish.

Lenovo a par ailleurs annoncé travailler en collaboration avec McAfee et Microsoft pour concevoir un outil de nettoyage approprié : « Nous travaillons avec McAfee et Microsoft pour supprimer le logiciel Superfish et le certificat à l’aide de leurs outils et technologies de pointe ». « L’action a déjà commencé et tout sera automatiquement corrigé même pour les utilisateurs qui ne sont pas actuellement conscients du problème ».

En effet, dès vendredi, la signature de Superfish faisait partie des définitions de Windows Defender et Security Essentials, ainsi que de l’antivirus McAfee.
Il est même annoncé que Microsoft devrait sortir un outil pour révoquer le certificat Superfish.

Alors que Chrome, Internet Explorer et Opera utilisent le magasin de certificats de Windows pour crypter le trafic, il est probable que Google et Opera vont publier leurs propres mises à jour de révocation du certificat de Superfish. Mozilla travaille également sur la révocation du certificat pour Firefox, mais sa solution n’est à l’heure actuelle pas encore disponible.

Cette affaire très polémique va certainement ternir l’image de marque de Lenovo. Est-ce que cela va remettre en cause son rang de leader mondial des PC ?

Votes
[Total : 0 votes en moyenne : 0]
PARTAGER
Article précédentEnergie nucléaire : Ségolène Royal pour une fusion entre CEA, EDF et Areva
Article suivantKia : concept-car d’un futur break Optima

Une fille dans l’informatique était mal vue à l’époque de mes études. C’est pour cette raison que l’on m’a cantonné à des rôles secondaires lors des travaux de groupe, notamment celui de centralisateur des informations. Ce rôle central, au final crucial, m’a plu. C’est comme cela que je suis devenue chef de projet. Plus tard, cette attirance pour l’information m’a poussé à suivre des cours de journalisme.
Comme j’avais la propension de centraliser l’actualité technologique, un ami m’a dit un jour : «Emilie, tu peux le faire ». C’est comme cela que je me suis retrouvée embarquée dans l’aventure de linformatique.org. Vu mon boulot, ce sont surtout les nouvelles technologies qui m’intéressent le plus.

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here