Malware de Lenovo Superfish Lenovo Laptop Owners Attention: Votre appareil peut avoir Malware préinstallé Lenovo Laptop Owners Attention: votre appareil peut avoir Malware préinstallé Le fabricant chinois d'ordinateurs Lenovo a admis que les ordinateurs portables livrés aux magasins et aux consommateurs fin 2014 avaient préinstallé les logiciels malveillants. Read More a fait beaucoup de bruit la semaine dernière. Non seulement le fabricant d'ordinateurs portables a expédié des ordinateurs avec des logiciels publicitaires, mais il a rendu ces ordinateurs très vulnérables aux attaques. Vous pouvez vous débarrasser de Superfish maintenant, mais l'histoire n'est pas terminée. Il y a beaucoup plus d'applications sur lesquelles s'inquiéter.
Attraper Superfish
Lenovo a publié un outil qui supprime Superfish, et Microsoft a mis à jour son logiciel anti-virus pour attraper et supprimer la nuisance. D'autres fournisseurs de logiciels anti-virus sont sûrs de suivre rapidement. Si vous possédez un ordinateur portable Lenovo et que vous n'avez pas pris de mesures pour vous débarrasser de Superfish, vous devriez le faire immédiatement!
Si vous ne vous en débarrassez pas, vous serez beaucoup plus vulnérable aux attaques d'intrus qui vous donneront l'impression que vous communiquez avec un site Web sécurisé lorsque vous communiquez avec un pirate. Superfish fait cela afin qu'il puisse obtenir plus d'informations sur les utilisateurs et injecter des publicités dans les pages, mais les attaquants peuvent profiter de ce trou.
Comment le détournement de SSL fonctionne-t-il?
Superfish utilise un processus appelé détournement SSL pour obtenir les données cryptées des utilisateurs. Le processus est en fait assez simple. Lorsque vous vous connectez à un site sécurisé, votre ordinateur et le serveur passent par plusieurs étapes:
- Votre ordinateur se connecte au site HTTP (non sécurisé).
- Le serveur HTTP vous redirige vers la version HTTPS (sécurisée) du même site.
- Votre ordinateur se connecte au site HTTPS.
- Le serveur HTTPS fournit un certificat, fournissant une identification positive du site.
- La connexion est terminée.
Lors d'une attaque de type man-in-the-middle, les étapes 2 et 3 sont compromises. L'ordinateur de l'attaquant sert de pont entre votre ordinateur et le serveur sécurisé, interceptant toute information transmise entre les deux, pouvant inclure des mots de passe, des détails de carte de crédit ou toute autre donnée sensible. Une explication plus complète peut être trouvée dans ce grand article sur les attaques de l'homme dans le milieu. Qu'est-ce qu'une attaque de l'homme dans le milieu? Le jargon de sécurité a expliqué ce qu'est un homme dans le milieu? Explication du jargon de la sécurité Si vous avez entendu parler d'attaques «d'homme à l'autre», mais que vous ne savez pas très bien ce que cela signifie, c'est l'article pour vous. Lire la suite .
Le requin derrière le poisson: Komodia
Superfish est un logiciel Lenovo, mais il repose sur un framework déjà existant, créé par une société appelée Komodia. Komodia fabrique différents outils, dont la plupart sont construits autour de l'objectif d'intercepter le trafic Internet crypté par SSL, de le décrypter rapidement et de permettre à l'utilisateur de faire différentes choses, comme filtrer les données ou surveiller la navigation cryptée.
Komodia affirme que leur logiciel peut être utilisé pour des choses comme le contrôle parental, le filtrage des informations potentiellement révélatrices à partir d'emails cryptés, et l'injection d'annonces dans les navigateurs qui restreignent les types d'extensions qui sont ajoutées. Évidemment, il existe de bonnes et de mauvaises utilisations potentielles pour ce logiciel, mais le fait qu'il décrypte votre trafic SSL sans vous donner la moindre idée que vous ne naviguez plus en toute sécurité est très inquiétant.
Pour faire une histoire courte, Superfish a utilisé un certificat de sécurité à mot de passe unique. Qu'est-ce qu'un certificat de sécurité de site Web et pourquoi devriez-vous vous en soucier? Qu'est-ce qu'un certificat de sécurité de site Web et pourquoi devriez-vous vous en soucier? En savoir plus, ce qui signifie que toute personne ayant le mot de passe de ce certificat aurait accès à tout trafic surveillé par Superfish. Alors qu'est-ce qui s'est passé après la découverte de Superfish? Quelqu'un a craqué le mot de passe et l'a publié, laissant un grand nombre de propriétaires de portables Lenovo vulnérables.
Un chercheur en sécurité a rapporté dans un article de blog que le mot de passe était «komodia». Sérieusement.
Mais Superfish n'est pas le seul logiciel utilisant les frameworks Komodia. Un chercheur en sécurité de Facebook a récemment découvert plus d'une douzaine d'autres logiciels utilisant Komodia tech, ce qui signifie qu'un grand nombre de connexions SSL pourraient être compromises. Ars Technica a rapporté que plus de 100 clients, y compris des entreprises Fortune 500, utilisent également Komodia. Et un certain nombre d'autres certificats ont également été débloqués avec le mot de passe "komodia".
Autres pirates de l'air SSL
Alors que Komodia est un gros poisson sur le marché du détournement de SSL, il y en a d'autres. PrivDog, un service de Comodo qui remplace les publicités de sites Web avec des annonces de confiance, a été identifié comme ayant une vulnérabilité qui pourrait également permettre des attaques de type man-in-the-middle. Les chercheurs disent que la vulnérabilité de PrivDog est encore pire que celle de Superfish.
Ce n'est pas si rare non plus. Beaucoup de logiciels gratuits sont livrés avec d'autres logiciels de publicité et d'autres choses que vous ne voulez pas (How-To Geek a posté une bonne expérience à ce sujet), et beaucoup d'entre eux utilisent le détournement SSL pour inspecter les données que vous envoyez connexions cryptées. Heureusement, au moins certains d'entre eux sont un peu plus intelligents en ce qui concerne leurs pratiques de certificats de sécurité, ce qui signifie que tous les pirates de l'air SSL ne sont pas aussi importants que ceux créés par Superfish ou PrivDog.
Parfois, il existe de bonnes raisons de donner accès à une application à vos connexions cryptées. Par exemple, si votre logiciel antivirus ne peut pas déchiffrer vos communications avec un site HTTPS, il ne pourra pas empêcher les logiciels malveillants d'infecter votre ordinateur via une connexion sécurisée. Le logiciel de contrôle parental doit également avoir accès à des connexions sécurisées, ou les enfants peuvent simplement utiliser HTTPS pour contourner le filtrage de contenu.
Mais lorsqu'un logiciel de publicité surveille vos connexions cryptées et les ouvre pour les attaquer, vous devriez vous inquiéter.
Que faire?
Malheureusement, de nombreuses attaques man-in-the-middle doivent être empêchées par des mesures côté serveur, ce qui signifie que vous pouvez être exposé à ce type d'attaques sans le savoir. Cependant, vous pouvez prendre un certain nombre de mesures pour rester en sécurité. Filippo Valsorda a créé une application Web qui recherche Superfish, Komodia, PrivDog et d'autres logiciels de désactivation SSL sur votre ordinateur. C'est un bon endroit pour commencer.
Vous devez également faire attention aux avertissements de certificat, vérifier les connexions HTTPS, faire attention au Wi-Fi public et exécuter un logiciel antivirus à jour. Vérifiez quelles extensions de navigateur sont installées dans votre navigateur et débarrassez-vous de celles que vous ne reconnaissez pas. Soyez prudent lors du téléchargement de logiciels gratuits, car beaucoup d'adware est livré avec elle.
Au-delà, la meilleure chose que nous puissions faire est de communiquer notre colère aux entreprises qui produisent et utilisent cette technologie, comme Komodia. Leur site Web a été récemment retiré, prétendument par une attaque de déni de service distribué Qu'est-ce qu'une attaque DDoS? [MakeUseOf explique] Qu'est-ce qu'une attaque DDoS? [MakeUseOf explique] Le terme DDoS siffle quand le cyber-activisme se dresse en masse. Ces types d'attaques font les manchettes internationales pour de multiples raisons. Les problèmes qui déclenchent ces attaques DDoS sont souvent controversés ou hautement ... Lire la suite, ce qui suggère que beaucoup de gens ont été rapides à exprimer leur mécontentement. Il est temps de préciser que le détournement de SSL est complètement inacceptable.
Que pensez-vous du logiciel de détournement SSL? Pensez-vous que nous devrions demander aux entreprises d'arrêter cette pratique? Devrait-il même être légal? Partagez vos pensées ci-dessous!
Crédits image: Caricature de requin Via Shutterstock, Connexion sécurisée HTTPS via Shutterstock.