Blog GlobalSign

25 févr. 2015

Lenovo facilite les attaques de l'homme du milieu à travers le logiciel Superfish

Lenovo distribue des ordinateurs intégrant l'application Superfish par défaut. Celle-ci est censée « renforcer » les sessions SSL des utilisateurs, afin de permettre à leur adware d'afficher du contenu de façon transparente. Cependant, en raison du faible niveau de sécurité pris en compte lors de sa conception, Superfish rend les utilisateurs vulnérables aux attaques de l'homme du milieu (HDM).

Ce qui était prévu

A travers le programme « Visual Discovery », Superfish traite les images vues sur un navigateur, afin d'afficher des publicités pour des produits et des services similaires. Cela rappelle tout autre adware standard, seulement, afin de garder la session SSL ouverte sans afficher de messages de sécurité alarmants, Superfish injecte ces publicités par le biais du protocole « https », en créant des certificats SSL à la volée. Ces certificats sont ensuite utilisés sur un proxy SSL local, afin de délivrer du contenu depuis le serveur de Visual Discovery sur ce qui semble être le même domaine.

A quoi ressemble une attaque HDM type ?

Une attaque HDM se produit lorsqu'un pirate s'insère entre un utilisateur et le site web que celui-ci souhaite visiter, www.bank.com dans l'exemple ci-dessous. Dans une telle situation, l'utilisateur peut généralement s'apercevoir du danger de plusieurs manières :

* L'URL a changé mais ressemble à l'URL originale, dans notre exemple www.bank1.com.
* Un message d'alerte de contenu mixte indique qu'une partie du contenu n'est pas sécurisée.
* Un message informe l’utilisateur que le certificat n'est pas reconnu car le pirate a créé son propre certificat SSL pour www.bank.com sans utiliser de racine de confiance.

Pourquoi l'utilisation d'une racine compromise accroît l'efficacité des attaques HDM ?

Le certificat racine ainsi qu'une version chiffrée de la clé privée de la racine sont inclus dans tous les systèmes affectés. Ceci est une très mauvaise pratique de sécurité, car la clé privée de la racine devrait toujours être conservée de façon sécurisée et hors ligne. Rob Graham, président de la société de sécurité Errata Security, n'a pas mis longtemps pour trouver le mot de passe de la clé privée.

Une fois la clé privée disponible à grande échelle, les pirates peuvent générer des certificats SSL reconnus par les systèmes de Lenovo pour n'importe quel site web. Les utilisateurs n'ont alors aucun moyen de savoir qu'ils sont dans une situation de piratage puisque le site visité utilise un certificat SSL reconnu par leur système. Les zones de wifi publiques sont particulièrement appréciées des pirates qui s'insèrent entre les utilisateurs et les sites que ceux-ci souhaitent visiter.

Qu'en est-il des attaques de signature de code ?

Dans la mesure où la racine de Superfish est disponible pour tous les cas d’utilisation de clé, elle peut également être utilisée pour signer et installer discrètement du malware sur ces mêmes appareils Lenovo. Bien qu'aucun rapport de malware n’ait été publié, ce n'est qu'une question de temps. C'est pourquoi il est urgent de prendre les mesures nécessaires.

Comment savoir si vous êtes affecté ?

Selon Lenovo, la situation ne concerne que les utilisateurs qui ont reçu leur système entre les mois d'octobre et de décembre 2014. D'après Chris Palmer, certains de ces systèmes sont encore en stock. Cependant, d'autres rapports ont fait surface selon lesquels Superfish aurait commencé à apparaître sur les systèmes dès le printemps 2014.

Si vous utilisez un système Lenovo, commencez par ouvrir le magasin de clés de l'AC racine de Microsoft (ouvrez Internet Explorer, puis « Options Internet » => « Contenu » => « Certificats » => « Autorités principales de confiance »). Si vous y trouvez le certificat racine Superfish CA, il est impératif que vous le supprimiez de la racine en le sélectionnant, puis en cliquant sur « Supprimer ». Vous pouvez également vérifier votre système sur ce lien.

Comment minimiser les risques de sécurité

Les utilisateurs affectés peuvent désinstaller l'application ou arrêter le service Windows sous-jacent (Visual Discovery), afin de désactiver la fonctionnalité de l'adware qui n'élimine pas le problème fondamental de sécurité qu'implique une racine compromise (voir les explications sur les attaques HDM possibles ci-dessus). Lenovo travaille sur, ou a peut-être déjà fourni un correctif qui permet de supprimer de façon permanente la vulnérabilité. De leur côté, Microsoft, Google et les autres développeurs de navigateur mettent à jour leur systèmes, afin d'ajouter cette racine à leur liste noire et de la révoquer complètement. En attendant :

  • Lancez la mise à jour Windows pour installer la dernière version de Windows Defender
  • Désinstallez l'application Superfish
  • Supprimez l'AC racine Superfish du magasin de clés de Microsoft dans Internet Explorer
  • Vous trouverez des instructions détaillées pour supprimer l'application et le certificat
    racine ici
    .
  • Vous pouvez également utiliser Firefox comme navigateur. Firefox utilise son propre magasin de clés et Superfish n'en fait pas partie. Cependant, certains rapports ont démontré que des utilisateurs de Firefox ont été victimes de cette vulnérabilité, selon l'Observatoire SSL Décentralisé. Il est donc conseillé de rester prudent.

Existe-t-il d'autres applications qui utilisent les mêmes outils ?

La plate-forme sous-jacente utilisée par Superfish pour afficher des publicités est fournie par l'entreprise Komodia (comme le mot de passe de la clé privée). Le kit de développement de Komodia est utilisé dans d'autres programmes. Ils ont tous leur propre clé privée et utilisent le même mot de passe « Komodia ». Nous pouvons alors nous demander si une attaque similaire peut se produire pour d'autres logiciels, tels que Qustodio, Keep My Family Secure et Kurupira Webfilter.

Et après ?

Si vous pensez avoir été victime d'une attaque HDM, nous vous recommandons de changer vos mots de passe pour tous les sites que vous avez visités, et de garder un œil au cas où vous remarqueriez des changements suspects sur l'un de vos comptes en ligne.

Sur ce sujet :

Partager ce blog