Un poisson pas super

Des failles béantes dans un logiciel préinstallé par Lenovo

| Mise à jour

Le logiciel publicitaire Superfish, préinstallé dans des laptops Lenovo, présente des failles de sécurité. Il est basé sur la technologie de la start-up Komodia qui fournit de faux certificats SSL.

(Quelle: G-Data)
(Quelle: G-Data)

Superfish, un logiciel publicitaire intrusif, fait couler pas mal d’encre. Et pour cause: il était préinstallé sur certains laptops de marque Lenovo vendus fin 2014. Le fabricant a reconnu les faits et s’est publiquement excusé. Superfish pose problème car il ne fait pas qu’injecter dans un navigateur des publicités supplémentaires, mais contient d’importantes failles de sécurité. Selon les experts cités par différents médias, ce publiciel ouvre la porte à la lecture de tous les messages chiffrés envoyés par le PC, dont les mots de passe ou des coordonnées bancaires, via des attaques dites de l'homme du milieu.

Une technologie douteuse

Cette affaire a cloué au pilori une firme peu connue du grand public jusqu’ici: la start-up israélienne Komodia. Sa technologie intégrée à Superfish permet d’intercepter les données chiffrées via un faux certificat SSL. Sur son blog, le CEO de la firme spécialisée Errata Security dévoile être parvenu à cracker le certificat en se servant simplement du mot de passe «komodia». Ce mot de passe serait, de plus, systématiquement utilisé pour chaque certificat de Komodia. Expert chez Cloudflare, Marc Rogers a de son côté découvert que le même dangereux procédé se retrouvait dans d’autres produits intégrant la technologique de Komodia, dont des filtres parentaux comme Kuripira et Qustodio.

Désinstallations automatiques

Microsoft a rapidement réagi, en publiant une mise à jour de son système anti-virus Windows Defender pour Windows 8. Selon la firme de Redmond, l’update détecte et supprime automatiquement le logiciel Superfish des périphériques Lenovo. Le fabricant chinois a par ailleurs communiqué avoir collaboré avec McAfee pour que les antivirus de cet éditeur suppriment aussi le publiciel. Lenovo a depuis publié son propre outil de suppression automatique.

Webcode
967

Kommentare

« Plus