au sommaire
À l'image de cet étrange poisson-chat (Kryptoglanis shajii) découvert en 2011 dans les rizières indiennes, le Superfish installé par Lenovo sur certains portables n'a pas une allure sympathique. © Lundberg et al., 2014. Proceedings of the Academy of Natural Sciences of Philadelphia
Il y a des idées du service marketing auxquelles les ingénieurs devraient avoir le pouvoir de s'opposer. Le constructeur Lenovo s'attire depuis plusieurs semaines les flammes de ses clients après avoir pris la décision de préinstaller un adware nommé Superfish, qui a pour effet d'injecter de la publicité dans les pages Web visitées par ses clients. Il croit même pouvoir en faire un argument commercial.
« Superfish est fourni uniquement avec les produits Lenovo et c'est une technologie qui aide les utilisateurs à trouver et découvrir des produits visuellement. La technologie analyse instantanément les images sur le Web et présente des produits identiques et similaires qui peuvent avoir un prix inférieur, en aidant les utilisateurs à chercher des images sans savoir exactement comment s'appelle un objet ou comment le décrire dans un moteur de recherche textuel », justifiait le mois dernier un administrateur du forum de Lenovo. Mais loin d'être un service rendu à ses clients, l'adware s'avère être une porteporte ouverte au piratage de leurs données personnelles.
Lenovo propose désormais une méthode pour retirer Superfish (voir dans la suite du texte). Ici, le test de vérification a été négatif. © Lenovo
L’adware peut être détourné
Superfish utilise des certificats cryptographiques auto-signés,ce qui lui permet de scanner le contenu des pages en principe protégées par une connexion SSLSSL, tout en faisant croire à l'utilisateur qu'il navigue de façon sécurisée. Pire, « de nombreux utilisateurs notent que la même clef privée est utilisée sur tous les ordinateurs disposant du programme Superfish. Ce qui signifie que si une personne malintentionnée parvenait à mettre la main sur cette clef, en réussissant à extraire la clef chiffrée présente dans le certificat, pourrait facilement intercepter le trafic provenant des ordinateurs Lenovo connectés sur un Wi-Fi public, sans que ceux-ci ne se rendent compte de la manœuvre », souligne ZDNet.
Or le pire est effectivement arrivé. Un chercheur en sécurité a réussi à découvrir le mot de passe permettant de déchiffrer le certificat. « Je peux désormais utiliser cela pour réaliser une attaque de type man-in-the-middle contre les portables Lenovo », écrit Robert Graham. Le mot de passe était « komodia », ce qui est le nom d'une entreprise dont le métier est justement de proposer des solutions de détournement du trafic SSL, et qui avait réalisé la vidéo ci-dessus pour expliquer sa technique.
Pour désamorcer la polémique qui monte, Lenovo a pris plusieurs mesures. L'Adware Superfish a été désactivé sur les serveursserveurs de la marque depuis janvier. Les propriétaires d'un PC portable Lenovo récent peuvent se rendre sur le site Filippo pour vérifier si leur machine est équipée de Superfish. Si tel est le cas, il faut alors suivre la procédure fournie par Lenovo.
-----------------------------------------------
Article initial paru sur Numérama :