Superfish, l’AdWare pré-installé sur les ordinateurs Lenovo

Pour ce que nous faisons;  le slogan va a ravir au fabriquant Chinois Lenovo qui a récemment confirmé les rumeurs qui se rependait à son sujet. L’entreprise avoue avoir mis sur le marché, suite à des plaintes d’utilisateurs, entre Septembre et Décembre , des ordinateurs en état d’usine avec comme l’un des programmes pré-installés sur ceux-ci et caché derrière des CGU, un adware nommé Superfish.

lenovo, superfish

 

 

 

 

 

 

 

 

 

 

“To be clear, Superfish comes with Lenovo consumer products only and is a technology that helps users find and discover products visually. The technology instantly analyzes images on the web and presents identical and similar product offers that may have lower prices, helping users search for images without knowing exactly what an item is called or how to describe it in a typical text-based search engine.”

– L’un des administrateurs du forum Lenovo
Source

Tout en admettant qu’il est intolérable de la part du fabriquant de vendre des ordinateurs qui mettent en péril votre vie privé, le tout pour du profit, il nous faut tout d’abord identifier ce qu’est un adware.  Ceci en se mettant bien évidemment dans le contexte et tout particulièrement en s’inspirant de la réponse de ce dénommé Mark Lenovo.

Un article a été rédigé à titre indicatif à propos des malwares, je vous invite à le lire.
Pour ceux qui n’auront pas eu le courage de le consulter dans son intégralité, un léger résumé s’impose. Un adware en soit est on peut le dire inoffensif cependant celui-ci peut rapidement transformer votre vie de passionné de la navigation web en un réel désastre; et peut en complément parfois devenir un danger.

Nous reviendrons sur les dangers à la suite; identifions tout d’abord ce qu’est un adware et établissons la liaison qu’il y a à faire avec ce mystérieux Superfish ainsi que de la réponse de cet administrateur.

 

En premier lieu, il nous faut savoir quelles sont les actions précises que ce logiciel malveillant effectuent.

Après son installation, celui-ci fouine un peu partout sur votre ordinateur, analysant vos habitudes en tant qu’internaute.
C’est à dire en récoltant des informations à propos des recherches que vous effectuez le plus fréquemment, ceci que ce soit au sujet d’un appartement, d’une voiture d’occasion ou même sur comment emmerder votre voisin.

Par la suite s’effectue la mise en place de publicité ciblant vos centres d’intérêt et justement en se basant sur vos recherches tels que celles citées ci-dessus.
Apparait ensuite des pops-ups incessants – ces fenêtres qui apparaissent dans votre navigateur-  finalement vous redirigeant vers des sites et dans la majorité des cas à des fins commerciales.

Le tout en respectant votre privé puisque différemment aux Spywares (qu’il ne faut pas confondre); ceux-ci ne vendent aucunes des informations récoltées.
Ils ne sont là que par l’appât du gain de la part des éditeurs et afin de faire connaitre les produits de commerçants.

 

Les dangers, parlons-en maintenant.

Votre vie privé n’est pas à craindre, non pas par le biais de SuperFish lui même en tout cas mais uniquement de la part de personnes mal-intentionnées qui utilisent une faille de sécurité lié à ce logiciel.
Allons droit au but!

Sur l’image ci-dessous nous pouvons voir le certificat de sécurité SSL délivré avec SuperFish qui contient une clé de chiffrement privé en 1024-bit RSA.

rsa key, superfish

 

 

 

 

 

Le problème est là, SuperFush a été développé afin de remplacer légitimement certains certificats de sites tels que celui de votre banque, par exemple, comme le montre l’image ci-dessous où nous pouvons clairement voir le certificat de sécurité du site www.bankofamerica.com signé par SuperFish, Inc ; qui bien évidemment à été substitué à l’original par ce dernier afin de pouvoir comme vous avez dorénavant compris, implanter des publicités.

bankofamerica, certificat, superfish

 

 

 

 

 

 

 

 

 

 

SuperFish devient donc dangereux dès ce moment; puisqu’il permet en soit, si vous vous connectez à un hotspot public et qu’ un pirate le soit aussi,  ce dernier pourra alors intercepter les données chiffrés sur le réseau.

Il suffit simplement que vous vous rendez sur le site de votre banque, pour ne pas changer d’exemple, et que le certificat de sécurité SSL (que l’on reconnait à l’URL par le HTTPS://) ait justement été substitué à l’original ; le pirate n’aura plus qu’à retranscrire clairement vos identifiants grâce à cette clé de chiffrement privée de SuperFish qui est à titre indicatif, après avoir été crackée: komodia.
Récupérée grâce à une dictionary attack, consistant en français et dans ce cas, à tester plusieurs combinaisons de mots de passe via une liste. Le mot de passe a été trouvé en seulement 10 secondes, cite l’auteur, Robert Graham qui a publié un article très intéressant à propos du Reverse Engineering et de ce curieux adware portant le nom de SuperFish.

Ce type d’attaque que le pirate peut utiliser à votre encontre se nomme le « man in the middle attack » ou dans la langue de Molière « l’attaque de l’homme du milieu ».
Vous pourrez trouver plus d’informations à propos de ce que SuperFish peut faire à l’adresse de la compagnie qui l’a développé et qui subit actuellement des attaques dîtes DDoS, depuis les actualités récentes comme le précise le site Internet.

komodia, ddos, superfish, lenovo

 

 

 

 

 

 

 

 

 

Quels sont les models où apparait SuperFish ?

D’après la liste donnée par Lenovo, seul ces models seraient affectés:

G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
U Series: U330P, U430P, U330Touch, U430Touch, U530Touch
Y Series: Y430P, Y40-70, Y50-70
Z Series: Z40-75, Z50-75, Z40-70, Z50-70
S Series: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
MIIX Series: MIIX2-8, MIIX2-10, MIIX2-11
YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
E Series: E10-30

Source

 

 

 

Comment savoir si l’on est infecté ?

Tout simplement en vous rendant à ce lien.

 

Je suis infecté, comment faire ?

En théorie il suffirait simplement de supprimer Visual Discovery ou SuperFish de votre ordinateur via l’utilitaire de désinstallation de programme que votre système d’exploitation propose, cependant il vous faut aussi supprimer certains de vos certificats de sécurité  afin d’être sûr de ne pas compromettre votre sécurité.

Microsoft a mis à disposition un tutoriel détaillant étape par étape la procédure de suppression d’un certificat de source de l’enregistrement des sources sûres ainsi d’une liste des certificats racine de confiance requis par Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP et Windows 2000.

Lenovo a aussi publié un article sur le site officiel de Lenovo expliquant les étapes à suivre afin de supprimer SuperFish et son certificat, ce qui ne suffit pas et nécessite malheureusement pour éviter les ennuis, si vous êtes possesseur d’un Lenovo et que vous êtes infecté par ce SuperFish de procéder à une installation neuve de Windows et ceci en passant par un CD.

Dû principalement au fait que les certificats substitués par SuperFish ne seront pas supprimés avec le programme et risquent laisser une porte ouverte à un pirate.

 

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *