Superfish : Lenovo ne peut plus noyer le poisson
L’affaire Superfish, du nom de ce logiciel espion préchargé sur certains PC portables Lenovo, a pris de l’ampleur ce week-end. Les intéressés réagissent en ordre dispersé.
Tout a commencé ce 19 février : mis sous pression par les experts en sécurité IT, Lenovo reconnaissait avoir préchargé, sur certains de ses PC portables, un logiciel espion baptisé Superfish.
Nombre d’utilisateurs se plaignaient depuis plusieurs mois de cet outil publicitaire qui surveille le trafic Web et fait remonter des recommandations produits dans les résultats de recherche en ligne.
Mais c’est bien de considérations sécuritaires qu’est venu le déclic. Et plus précisément d’un certificat racine que Superfish implante dans la base de registre Windows. Ce qui lui permet de fonctionner comme un proxy et d’injecter sa propre signature dans tous les certificats présentés par des sites sur lesquels la connexion se fait de façon chiffrée via le protocole SSL (Secure Sockets Layer).
En agissant ainsi, Superfish prend les pleins pouvoirs sur la navigation Web, mais il expose l’ordinateur à des attaques de type « Man-in-the-Middle »… et donc au vol de données personnelles. C’est ce qu’a démontré un chercheur en sécurité parvenu à extraire le certificat lié à l’adware et à craquer la clé privée associée.
Dans un premier temps, Lenovo avait tenté de minimiser l’affaire. L’industriel chinois avait finalement retourné sa veste en publiant successivement un communiqué, une alerte de sécurité et un guide de désinstallation pour ce programme développé par l’entreprise américaine Superfish.
D’abord applicable uniquement au logiciel en lui-même, le guide de désinstallation manuelle a finalement été mis à jour pour permettre l’élimination du certificat racine. Lenovo a ensuite publié un outil de suppression automatique… qu’il appartient néanmoins aux utilisateurs de télécharger par eux-mêmes.
Désinstallation automatique
Tout en précisant que la technologie Superfish « ne dresse pas de profils d’utilisateurs, […] ne piste et ne recible personne« , le groupe high-tech chinois avait annoncé, à l’approche du week-end, travailler avec plusieurs partenaires pour automatiser la procédure de désinstallation.
Moins de 24 heures plus tard, Microsoft mettait à jour la base de signatures de son antivirus Windows Defender, livré de série avec Windows 8.x.
Problème : Windows Defender n’est actif que si aucun autre logiciel antivirus n’est installé sur la machine (que ce soit pour des licences payantes ou des offres d’essai). Il appartient donc aux éditeurs de mettre à jour leurs bases de signatures. C’est ce qui s’est passé pour Symantec, dont l’offre Norton Security n’a pas immédiatement détecté Superfish comme une menace, bien que le logiciel soit classé comme adware dans la base de l’éditeur, comme l’a noté ZDNet.com.
Autre limite : Windows Defender et consorts n’ont pas d’effet sur Firefox. Le navigateur Internet de la fondation Mozilla gère lui-même ses certificats, au contraire d’Internet Explorer, de Google Chrome et d’Opera, qui s’appuient sur la base Windows. Le problème se présente aussi pour les applications basées sur le moteur de Firefox, comme le client de messagerie électronique Thunderbird, relève Ars Technica.
De son côté, Lenovo assure avoir mis un terme au préchargement de Superfish et coupé, au mois de janvier, les serveurs permettant son exécution. Sur la liste des machines concernées figurent les notebooks séries E, Flex, G, M, S, U, Y, Yoga et Z vendus entre septembre 2014 et février 2015.