Il est d'autant plus facile de faire un faux site pour les pirates qui voudraient utiliser SuperFish, que la clé privée du certificat installé sur les PC Lenovo est sur Internet :
http://blog.erratasec.com/2015/02/extracting-superfish-certificate.html
Soyons sérieux, à partir du moment où elle est présente sur chaque machine, et utilisée par un logiciel, il n'était pas évitable qu'elle soit récupérée.
Merci à celui qui a fait ce boulot.
Le logiciel en question a deux caractéristiques techniques remarquables (indépendant de la moralité d'un logiciel installé à l'insu des utilisateurs qui modifie les pages Web) :
- il utilise une clé privée prédéfinie
-
il accepte sa propre clefSi un logiciel de ce genre veut faire de l'interception SSL/TLS, pour quelque raison que ce soit (morale ou immorale), il n'a pas besoin d'utiliser une clé privée prédéfinie, il peut la générer automatiquement lors de l'installation.
Un tel logiciel est un serveur mandataire :
- il est serveur SSL/TLS (il a donc besoin de générer un certificat valable pour chaque nom de domaine recherché)
- il est client SSL/TLS : il se connecte aux serveurs SSL/TLS
Il n'y a aucune raison pour le composant logiciel client du mandataire accepte le certificat du composant logiciel serveur! Les serveurs Web (ou autres) n'utiliseront jamais cette clé là!