C’est vendredi soir dernier que Lenovo a publié un outil de suppression de l’adware Superfish, un utilitaire qui supprime également le certificat autosigné.
Lenovo est au centre de la polémique depuis que l’on sait que le constructeur d’ordinateur chinois a préinstallé un adware sur ses PC portables, une situation d’autant plus problématique que ce malware espionnait les communications de l’utilisateur et était en plus vulnérable.
À l’origine, l’idée de Lenovo était de préinstaller Superfish sur ses ordinateurs portables dans le but de générer des revenus supplémentaires en proposant de la publicité aux internautes.
Une telle pratique consistant à déployer volontairement un adware a de quoi être dérangeante. Elle l’est d’autant plus que, via un certificat autosigné, ce malware pouvait même scanner les communications sécurisées par SSL.
En sachant cela, ce sont les experts en sécurité qui ont relancé la polémique en dénonçant la curiosité de Superfish, comme Ken Westin, analyste de la sécurité chez la firme de sécurité Tripwire, qui a dénoncé qu’il s’agissait d’« une menace pour l’intimité et la sécurité » des utilisateurs.
Pour agir, Superfish installait une autorité de certification racine dans le magasin de certificats Windows et celui de Firefox, puis resignait tous les certificats présents disponibles pour le HTTPS. Cela permettait à un navigateur d’approuvé des faux certificats autogénérés par Superfish, et à cet adware de pouvoir espionner même les communications soi-disant sécurisées.
En apprenant cela, l’enjeu pour tous les hackers était bien évidemment de trouver le mot de passe qui protégeait le certificat de Superfish dans le but de pouvoir lancer eux-mêmes des attaques man-in-the-middle.
Ce craquage s’est avéré très facile vu que Robert Graham a révélé qu’il s’agissait de « komodia ».
Étant donné que la vulnérabilité de Superfish est d’un coup devenue de notoriété publique, Lenovo a enfin décidé d’agir. Affirmant toujours ne pas connaitre l’existence de cette vulnérabilité jusqu’à son annonce, le groupe chinois a tout d’abord révoqué son certificat avant d’annoncer la sortie d’un outil de suppression de Superfish.
Lenovo a par ailleurs annoncé travailler en collaboration avec McAfee et Microsoft pour concevoir un outil de nettoyage approprié : « Nous travaillons avec McAfee et Microsoft pour supprimer le logiciel Superfish et le certificat à l’aide de leurs outils et technologies de pointe ». « L’action a déjà commencé et tout sera automatiquement corrigé même pour les utilisateurs qui ne sont pas actuellement conscients du problème ».
En effet, dès vendredi, la signature de Superfish faisait partie des définitions de Windows Defender et Security Essentials, ainsi que de l’antivirus McAfee.
Il est même annoncé que Microsoft devrait sortir un outil pour révoquer le certificat Superfish.
Alors que Chrome, Internet Explorer et Opera utilisent le magasin de certificats de Windows pour crypter le trafic, il est probable que Google et Opera vont publier leurs propres mises à jour de révocation du certificat de Superfish. Mozilla travaille également sur la révocation du certificat pour Firefox, mais sa solution n’est à l’heure actuelle pas encore disponible.
Cette affaire très polémique va certainement ternir l’image de marque de Lenovo. Est-ce que cela va remettre en cause son rang de leader mondial des PC ?
Si cet article a captivé votre intérêt, vous trouverez certainement les prochains tout aussi passionnants. Assurez-vous de ne rien manquer en vous abonnant à linformatique.org sur Google News. Suivez-nous aussi sur Facebook et Twitter.