adware
Le 19 février 2015, une information nous confirmait que les ordinateurs portables Lenovo ont été mis sur le marché alors qu’ils contenaient un adware préinstallé connu sous le nom de Superfish. Il y a donc deux problèmes majeurs concernant cette découverte.
Le premier problème concerne le fait que le fabricant a mis à la disposition des consommateurs des ordinateurs portables avec un adware préinstallé depuis plusieurs mois – de septembre 2014 à février 2015.
Le second problème est lié à la façon dont se comporte Superfish. Sa capacité à produire un certificat d’autorisation permet éventuellement à une tierce personne malveillante d’intercepter les connexions SSL / TLS, ou pour le dire simplement, les sessions de navigateur Web utilisant des liens « https« .
Learn how digital certificates and 'HTTPS' keep your online life secure through encryption. http://t.co/gjOBQrEaYO
— Kaspersky (@kaspersky) May 7, 2013
Maintenant, nous allons jeter un coup d’œil de plus près au dernier problème évoqué afin d’observer le comportement réel de Superfish.
Ci-dessous, voici une capture d’écran d’un site de banque en ligne, accessible via Internet Explorer à partir d’un ordinateur » sain » sans adware. En cliquant sur l’icône de verrouillage, il affiche les informations du certificat SSL:
Accès à la banque en ligne depuis un ordinateur » sain «
Le certificat SSL est émis par une autorité de certification (CA) pour assurer la propriété du site Web. Dans ce cas, VeriSign est l’émetteur du certificat qui garantit l’identité de « Japan xxxx BANK Co,Ltd. » Le certificat est également utilisé pour chiffrer l’identifiant de l’utilisateur ou un mot de passe sur une session chiffrée. La sécurité de la connexion est assurée de cette façon.
La capture d’écran suivante provient du même site Web. Mais cette fois-ci, il est accessible via Internet Explorer à partir d’un ordinateur infecté par Superfish. Son certificat SSL affiche maintenant « Superfish » comme étant l’émetteur au lieu de « VeriSign ».
Accès à la banque en ligne depuis un ordinateur infecté
Quelle est donc la cause de ce changement ? Superfish possède sa propre CA (autorité de certification) sur son logiciel. Ceci permet de pirater la session Web de l’utilisateur, produire un certificat et établir la connexion SSL afin de l’utiliser. Malheureusement, les navigateurs Web considèrent le certificat Superfish généré comme étant légitime. De ce fait, la CA est maintenant Superfish, et non plus VeriSign.
De plus, une clé privée pour générer un certificat est incluse dans le logiciel et à la disposition des personnes qui le souhaitent. Le mot de passe de la clé a été révélé sur Internet. Avec ces deux éléments, une personne malintentionnée peut espionner les données transmises via une connexion chiffrée ou y injecter un code malveillant. Le pire scénario possible dans ce cas est un vol de données à partir d’une session Web avec un site bancaire.
We're sorry. We messed up. We're owning it. And we're making sure it never happens again. Fully uninstall Superfish: http://t.co/mSSUwp5EQE
— Lenovo United States (@lenovoUS) February 20, 2015
Nous recommandons fortement aux utilisateurs d’ordinateurs portables Lenovo contenant Superfish de supprimer un logiciel nommé « Superfish Inc. Visual Discovery » (à partir du panneau de configuration de Windows) ainsi que le certificat Superfish (à partir de la liste des Autorités de certification racine de confiance).
Les utilisateurs d’un ordinateur portable Lenovo laptop infecté par #Superfish sont vivement invités à effacer l’ #adware ET le certificat
Tweet
Les produits Kaspersky peuvent vous aider à savoir, si vous ordinateur portable est affecté: notre produit détecte l’adware comme un non-virus: AdWare.Win32.Superfish.b.
Lenovo met à disposition Automatic Removal Tool for Superfish dans leur Bulletin d’alerte (LEN-2015-101).
