Lenovo : sécurité mise en péril par l’adware SuperFish

En préinstallant l’adware SuperFish sur ses portables, Lenovo ne pensait qu’à se faire de l’argent. Au final, c’est une véritable brèche de sécurité qui a été ouverte.

Dans le but de monétiser le surf des acheteurs de ses ordinateurs, Lenovo a décidé de préinstaller SuperFish sur ses portables. Récupérant les informations des images affichées, le but de cet adware était de proposer à l’internaute des produits similaires.

Bien que gênant pour l’utilisateur, cette publicité non sollicitée n’était à priori pas dangereuse. Mais voilà, SuperFish a été conçu d’une façon qu’il rendait vulnérable toute la machine.
Lors de son installation sur la machine, SuperFish installe une autorité de certification self-signée. Dernière ce dispositif au nom barbare, il faut comprendre un système qui permet de signer toutes les communications SSL sensées être cryptées, ce qui permettait à cet adware de scruter également le surf fait en HTTPS.

Cette intrusion dans la vie privée des utilisateurs n’est déjà pas très éthique. Elle est d’autant moins éthique que la solution mise en place était particulièrement vulnérable. Il n’a en effet fallu que très peu de temps pour que le mot de passe de l’autorité de certification circule sur internet, court-circuitant ainsi la sécurité de toutes les machines équipées de SuperFish.
En fait, en utilisant le mot de passe qui circule et le système des certificats mis en place par SuperFish, une personne malintentionnée peut parfaitement intercepter tout ce que fait l’utilisateur, même prendre le contrôle de sa machine.

En raison de la polémique suscitée par cette affaire, Lenovo a dû présenter ses excuses publiques, mais aussi proposer des outils de nettoyage de SuperFish.

Mais tant que tous les possesseurs d’ordinateurs Lenovo n’auront pas procédé à ce grand nettoyage, la menace sera toujours présente.

Votes
[Total : 0 votes en moyenne : 0]
PARTAGER
Article précédentEst-ce que l’Apple Car doit être prise au sérieux ?
Article suivantLa NSA veut accéder « légalement » aux communications

Une fille dans l’informatique était mal vue à l’époque de mes études. C’est pour cette raison que l’on m’a cantonné à des rôles secondaires lors des travaux de groupe, notamment celui de centralisateur des informations. Ce rôle central, au final crucial, m’a plu. C’est comme cela que je suis devenue chef de projet. Plus tard, cette attirance pour l’information m’a poussé à suivre des cours de journalisme.
Comme j’avais la propension de centraliser l’actualité technologique, un ami m’a dit un jour : «Emilie, tu peux le faire ». C’est comme cela que je me suis retrouvée embarquée dans l’aventure de linformatique.org. Vu mon boulot, ce sont surtout les nouvelles technologies qui m’intéressent le plus.

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here