Depuis le début de l'année, les ordinateurs portables de Lenovo sont fournis avec un adware qui affiche de la publicité contextuelle. Pire, l'outil expose tous les possesseurs à une attaque de type "man-in-the-middle" qui permet d'intercepter le contenu de pages en principe sécurisées.

Il y a des idées du service marketing auxquelles les ingénieurs devraient avoir le pouvoir de s'opposer. Le constructeur Lenovo s'attire depuis plusieurs semaines les flammes de ses clients après avoir pris la décision de pré-installer un adware nommé Superfish, qui a pour effet d'injecter de la publicité dans les pages web visitées par ses clients. Il croit même pouvoir en faire un argument commercial. 

"Superfish est fourni uniquement avec les produits Lenovo et c'est une technologie qui aide les utilisateurs à trouver et découvrir des produits visuellement. La technologie analyse instantanément les images sur le web et présente des produits identiques et similaires qui peuvent avoir un prix inférieur, en aidant les utilisateurs à chercher des images sans savoir exactement comment s'appelle un objet ou comment le décrire dans un moteur de recherche textuel", justifiait le mois dernier un administrateur du forum de Lenovo.

Mais loin d'être un service rendu à ses clients, l'adware s'avère être une porte ouverte au piratage de leurs données personnelles. Superfish utilise des certificats cryptographiques auto-signés, qui lui permet de scanner le contenu des pages en principe protégées par une connexion SSL, tout en faisant croire à l'utilisateur qu'il navigue de façon sécurisée. 

Pire, "de nombreux utilisateurs notent que la même clef privée est utilisée sur tous les ordinateurs disposant du programme Superfish. Ce qui signifie que si une personne malintentionnée parvenait à mettre la main sur cette clef, en réussissant à extraire la clef chiffrée présente dans le certificat, pourrait facilement intercepter le trafic provenant des ordinateurs Lenovo connectés sur un wifi public, sans que ceux-ci ne se rendent compte de la manœuvre", souligne ZDNet.

Or le pire est effectivement arrivé. Un chercheur en sécurité a réussi à découvrir le mot de passe permettant de déchiffrer le certificat. "Je peux désormais utiliser cela pour réaliser une attaque de type Man-In-The-Middle contre les portables Lenovo", écrit Robert Graham. Le mot de passe était "komodia", ce qui est le nom d'une entreprise dont le métier est justement de proposer des solutions de détournement du trafic SSL. La firme avait réalisé cette vidéo en 2008, pour montrer comment son SDK pouvait être utilisé pour intercepter des communications de Gmail sans alerter l'utilisateur :

Partager sur les réseaux sociaux

Plus de vidéos