Pages: [1]   En bas

Auteur Sujet: SuperFish : Lenovo installe un certificat racine sur ses PC  (Lu 3086 fois)

0 Membres et 1 Invité sur ce sujet

vivien

  • Administrateur
  • *
  • Messages: 47 212
    • Twitter LaFibre.info
SuperFish : Lenovo installe un certificat racine sur ses PC
« le: 20 février 2015 à 13:24:52 »
Un adware livré avec les machines Lenovo pose un sérieux risque de sécurité



Lenovo est au cœur d’un scandale sur la sécurité de ses machines. Le constructeur installe non seulement un adware qui injecte des publicités dans les résultats de recherche et dans certaines pages, mais également un certificat racine qui peut théoriquement permettre un espionnage direct de toutes les connexions sécurisées. Explications.


SuperFish, l'adware et le certificat de sécurité

SuperFish : tel est le nom d’un petit programme que l’on retrouve sur les PC portables vendus par Lenovo. Quand l’utilisateur navigue sur le web, cet adware injecte des informations dans les résultats de Google, ainsi que sur d’autres sites, sans demander évidemment la permission de l’utilisateur. Pour l’instant, seuls Internet Explorer et Chrome semblent touchés par le problème, Firefox gérant son catalogue de sécurité à part.

En tant que tel, le problème est déjà sérieux. En effet, pourquoi insister sur la publicité puisque la machine a été dûment payée ? Pour Lenovo, il n’y avait pas de problème en janvier sur le fond-même de SuperFish, le responsable Mark Hopkins indiquant que cela permettait d’aider les utilisateurs à découvrir et trouver d’autres produits, tout en les informant d’offres comparables, ou moins chères, s’ils étaient en train de se renseigner sur des produits particuliers. Il notait cependant qu’une mise à jour était nécessaire car les publicités étaient parfois envahissantes, voire apparaissaient sous forme de popups.



Mais le vrai problème vient d’un certificat racine installé par SuperFish pour pouvoir réaliser ces injections. Et il semble clairement que Lenovo ait sorti le canon pour tuer le moustique, car la technique est généralement utilisée par les pirates dans le cas d’attaques de type « man-in-the-middle », aboutissant au vol d’informations. Car, en tant que tel, le certificat racine est accepté par la machine et permet d’espionner directement n’importe quelle connexion sécurisée, y compris celle permettant d’utiliser le site d’une banque par exemple.


Le certificat pourrait être utilisé par les pirates pour récupérer des données sensibles

Les premiers rapports sur la présence de SuperFish remontent à avril 2014 et un utilisateur avait même créé une vidéo en novembre dernier pour expliquer comment supprimer ce logiciel. Mais la problématique prend de l’ampleur à cause du certificat de sécurité et de l’absence complète de réflexion qui semble accompagner une telle action, tant les répercussions peuvent être nombreuses. Car soit Lenovo procède ainsi intentionnellement, soit c’est la seule solution trouvée afin d’injecter des publicités.

En tant que tel,  le certificat racine pourrait en fait se faire passer pour n’importe quel autre certificat. Le problème est sérieux, mais devient ubuesque quand on sait que c’est la même clé privée qui est utilisée pour le signer sur chaque machine de Lenovo. En d’autres termes, il suffit à une personne d’extraire la clé puis de monter un serveur ou de se positionner dans un réseau Wi-Fi public pour espionner toutes les connexions des machines Lenovo. Or, tout porte à croire que cette clé a déjà été extraite, ce qui pose un risque immédiat pour tous les utilisateurs concernés.



Et les acteurs concernés sont parfaitement au courant de la situation. Comme noté il y a quelques heures par Nick Semenkovich, doctorant au MIT, SuperFish propose un patch contenant « Patch for Lenovo - do not run on https sites », signe que le danger a bien été détecté. Et Lenovo a également réagi ce midi pour indiquer non seulement que le logiciel n’était plus installé sur les nouvelles machines, mais qu’il avait été également désactivé pour les actuelles.


Se débarrasser du dangereux certificat

Par ailleurs, si désinstaller SuperFish est assez facile, la procédure ne supprime pas le certificat pour autant. Pour y parvenir, il faut chercher dans Windows le gestionnaire de certificats, que l’on peut trouver en écrivant « gérer les certificats ». Une fois la console ouverte, il faut ouvrir le dossier « Autorités de certification racine tierce partie », puis « Certificats ». Il faut alors chercher la ligne SuperFish puis supprimer le certificat associé.

Ceux qui aimaient faire une réinstallation propre de Windows après l’achat d’une nouvelle machine chez un constructeur ne changeront en tout cas pas leurs habitudes, sans parler de la très mauvaise publicité que Lenovo récolte actuellement. Alors que l’on s’avance vers le deuxième anniversaire des révélations d’Edward Snowden, les actions de Lenovo risquent d’engendrer une crise de confiance de la clientèle non seulement envers ses propres machines, mais également celles des autres constructeurs. Car si Lenovo procède ainsi, pourquoi pas d’autres ?

Source : Next INpact, le 19 février 2015 par Vincent Hermann
IP archivée

vivien

  • Administrateur
  • *
  • Messages: 47 212
    • Twitter LaFibre.info
SuperFish : Lenovo installe un certificat racine sur ses PC
« Réponse #1 le: 20 février 2015 à 13:28:03 »
Il est d'autant plus facile de faire un faux site pour les pirates qui voudraient utiliser SuperFish, que la clé privée du certificat installé sur les PC Lenovo est sur Internet : http://blog.erratasec.com/2015/02/extracting-superfish-certificate.html

Je pense que certains pays vont y trouver un intérêt, comme le gouvernement Chinois qui cherhe à récupérer les mot de passe des comptes Apple, Google et Microsoft.

Cela tombe bien, Lenovo est une entreprise chinoise...


La Chine aurait mené une attaque Man in the Middle contre iCloud

Le cryptage des données par Apple n'est pas du goût de la Chine. Le pays aurait donc décidé de s'attaquer à iCloud pour surveiller ses citoyens.

Alors que les iPhone 6 et 6 plus viennent d’arriver en Chine, Great Fire, une organisation à but non lucratif qui s’est fixé pour but de surveiller la censure d’Internet dans le pays, affirme que les autorités locales ont procédé à une attaque Man in the Middle sur iCloud.

Ce type d’attaque permet de récupérer des données en se plaçant entre deux parties sans qu’aucune ne se rende compte que le canal est compromis. Le gouvernement chinois chercherait ainsi à récolter des mots de passe et noms d’utilisateurs du service pour ensuite avoir accès à tous les documents stockés dans iCloud : photos, contacts, messages…

D’après Great Fire, certains navigateurs comme Chrome ou Firefox affichent une page d’erreur lorsque des utilisateurs cherchent à se connecter à iCloud depuis un ordinateur à l’inverse de Qihoo, le navigateur le plus utilisé en Chine.

Il y a peu, la firme de Cupertino avait annoncé qu’elle souhaitait stocker en Chine les données personnelles de ses utilisateurs locaux, mais qu’elles seraient cryptées, comme elle s’y était engagée dans sa nouvelle politique de protection des données.  Il n’y a semble-t-il pas que les autorités américaines qui « déplorent » le fait qu’Apple ait accentué le chiffrement des données des utilisateurs de ses smartphones…

Source : 01net, le 22 octobre 2014 par Cécile Bolesse.
IP archivée

corrector

  • Invité
SuperFish : Lenovo installe un certificat racine sur ses PC
« Réponse #2 le: 04 mars 2015 à 13:37:38 »
Je dis et je répète que la production d'un certificat portant sur example.com est une violation de propriété intellectuelle (marque) et aussi probablement un crime informatique, sauf exceptions (usage personnel).

Je ne comprends pas qu'il n'y ait pas de poursuites.
IP archivée

corrector

  • Invité
SuperFish : Lenovo installe un certificat racine sur ses PC
« Réponse #3 le: 15 avril 2015 à 18:02:31 »
Citation de: vivien le 20 février 2015 à 13:28:03
Il est d'autant plus facile de faire un faux site pour les pirates qui voudraient utiliser SuperFish, que la clé privée du certificat installé sur les PC Lenovo est sur Internet :

http://blog.erratasec.com/2015/02/extracting-superfish-certificate.html
Soyons sérieux, à partir du moment où elle est présente sur chaque machine, et utilisée par un logiciel, il n'était pas évitable qu'elle soit récupérée.

Merci à celui qui a fait ce boulot.

Le logiciel en question a deux caractéristiques techniques remarquables (indépendant de la moralité d'un logiciel installé à l'insu des utilisateurs qui modifie les pages Web) :

- il utilise une clé privée prédéfinie
- il accepte sa propre clef

Si un logiciel de ce genre veut faire de l'interception SSL/TLS, pour quelque raison que ce soit (morale ou immorale), il n'a pas besoin d'utiliser une clé privée prédéfinie, il peut la générer automatiquement lors de l'installation.

Un tel logiciel est un serveur mandataire :
- il est serveur SSL/TLS (il a donc besoin de générer un certificat valable pour chaque nom de domaine recherché)
- il est client SSL/TLS : il se connecte aux serveurs SSL/TLS

Il n'y a aucune raison pour le composant logiciel client du mandataire accepte le certificat du composant logiciel serveur! Les serveurs Web (ou autres) n'utiliseront jamais cette clé là!
IP archivée
Pages: [1]   En haut