Lenovo et adware VisualDiscovery / VisualSearch
Cela commence à faire du bruit, Lenovo aurait
pré-installé un adware sur ses PC, du nom de "Adware VisualDiscovery" ou
"Adware VisualSearch".
Quelques sujets qui font mention :
https://forums.lenovo.com/t5/Lenovo-P-Y ... 174#M79882
http://www.theverge.com/2015/2/19/80675 ... #289781986
http://marcrogers.org/2015/02/19/lenovo ... s-all-ssl/
En Décembre, j'avais twitté : https://twitter.com/malekal_morte/statu ... 4576763904 et ttps://twitter.com/malekal_morte/status ... 3229882368
En effet quelques sujets relatifs à ce problème de publicités intempestifs SuperFish / Visual Discovery à l'époque :
visualdiscovery-pops-publicitaires-t50167.html
http://www.commentcamarche.net/forum/af ... -discovery
http://www.commentcamarche.net/forum/af ... ldiscovery
Le fichier responsable de ces publicités était dans un dossier Lenovo et signé.
Une page de désinfection avait même été faite sur supprimer-virus : http://www.supprimer-virus.com/visual-discovery/
Lenovo a publié un communiqué précisant la position de la société : celle ci précise que les ordinateurs embarquant Superfish "ont été livrés dans entre septembre et Octobre" et que Superfish a été désactivé depuis le mois de janvier suite aux commentaires négatifs des utilisateurs. Le constructeur ajoute néanmoins qu"ils ont "minutieusement inspecté la technologie utilisée et qu'ils n'ont pas découvert d’éléments indiquant des risques potentiels pour la sécurité des utilisateurs."
Superfish peut donc déchiffrer des connexions supposées sécurisées afin d’insérer des contenus publicitaires sans que l’utilisateur ne soit averti d’une telle intrusion. Pour beaucoup cela ressemble fort à une attaque man in the Middle telle qu’on la décrit la plupart du temps, avec un tiers indésirable qui s’interpose dans une connexion entre un client et un serveur.
Lorsqu’un navigateur détecte une connexion utilisant un certificat non signé ou signé par une société ne faisant pas partie de ses « tiers de confiance », il signale à l’utilisateur que celle-ci présente un risque. Ce qui n’est pas le cas pour les utilisateurs de Lenovo : Superfish injecte son certificat auto signé afin d’avoir accès aux informations échangées entre le serveur et le client. De fait, le navigateur n’est donc plus en mesure de signaler à l’utilisateur une connexion non sécurisée.
Plus problématique encore : de nombreux utilisateurs notent que la même clef privée est utilisée sur tous les ordinateurs disposant du programme Superfish. Ce qui signifie que si une personne malintentionnée parvenait à mettre la main sur cette clef, en réussissant à extraire la clef chiffrée présente dans le certificat, pourrait facilement intercepter le trafic provenant des ordinateurs Lenovo connectés sur un wifi public, sans que ceux-ci ne se rendent compte de la manœuvre.
Pour les utilisateurs affectés : si la désinstallation de Superfish suffit à s’épargner l’ajout de publicité sur les pages web, il semblerait néanmoins que la désinstallation ne révoque pas automatiquement le certificat.
Bref, on ne sait plus à qui se fier =)
Première
règle élémentaire de sécurité : on réfléchit puis on clic et pas
l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça
vient d'un inconnu, on n'accepte pasQuelques sujets qui font mention :
https://forums.lenovo.com/t5/Lenovo-P-Y ... 174#M79882
http://www.theverge.com/2015/2/19/80675 ... #289781986
http://marcrogers.org/2015/02/19/lenovo ... s-all-ssl/
En Décembre, j'avais twitté : https://twitter.com/malekal_morte/statu ... 4576763904 et ttps://twitter.com/malekal_morte/status ... 3229882368
- Lenovo et adware VisualDiscovery / VisualSearch
En effet quelques sujets relatifs à ce problème de publicités intempestifs SuperFish / Visual Discovery à l'époque :
visualdiscovery-pops-publicitaires-t50167.html
http://www.commentcamarche.net/forum/af ... -discovery
http://www.commentcamarche.net/forum/af ... ldiscovery
Le fichier responsable de ces publicités était dans un dossier Lenovo et signé.
Une page de désinfection avait même été faite sur supprimer-virus : http://www.supprimer-virus.com/visual-discovery/
Lenovo a publié un communiqué précisant la position de la société : celle ci précise que les ordinateurs embarquant Superfish "ont été livrés dans entre septembre et Octobre" et que Superfish a été désactivé depuis le mois de janvier suite aux commentaires négatifs des utilisateurs. Le constructeur ajoute néanmoins qu"ils ont "minutieusement inspecté la technologie utilisée et qu'ils n'ont pas découvert d’éléments indiquant des risques potentiels pour la sécurité des utilisateurs."
De Charybde en Scylla
Cela aurait pu s’arrêter là, mais de nombreux utilisateurs ont également signalé d’importants risques relatifs à la sécurité des utilisateurs provoqués par ce logiciel indésirable. En effet, le logiciel Superfish a recours a des certificats auto signés. Une pratique problématique : ce certificat autosigné permet en effet à Superfish d’espionner les connexions sécurisées d’un utilisateur avec une banque par exemple, comme l’ont noté plusieurs utilisateurs.Superfish peut donc déchiffrer des connexions supposées sécurisées afin d’insérer des contenus publicitaires sans que l’utilisateur ne soit averti d’une telle intrusion. Pour beaucoup cela ressemble fort à une attaque man in the Middle telle qu’on la décrit la plupart du temps, avec un tiers indésirable qui s’interpose dans une connexion entre un client et un serveur.
Lorsqu’un navigateur détecte une connexion utilisant un certificat non signé ou signé par une société ne faisant pas partie de ses « tiers de confiance », il signale à l’utilisateur que celle-ci présente un risque. Ce qui n’est pas le cas pour les utilisateurs de Lenovo : Superfish injecte son certificat auto signé afin d’avoir accès aux informations échangées entre le serveur et le client. De fait, le navigateur n’est donc plus en mesure de signaler à l’utilisateur une connexion non sécurisée.
Plus problématique encore : de nombreux utilisateurs notent que la même clef privée est utilisée sur tous les ordinateurs disposant du programme Superfish. Ce qui signifie que si une personne malintentionnée parvenait à mettre la main sur cette clef, en réussissant à extraire la clef chiffrée présente dans le certificat, pourrait facilement intercepter le trafic provenant des ordinateurs Lenovo connectés sur un wifi public, sans que ceux-ci ne se rendent compte de la manœuvre.
Pour les utilisateurs affectés : si la désinstallation de Superfish suffit à s’épargner l’ajout de publicité sur les pages web, il semblerait néanmoins que la désinstallation ne révoque pas automatiquement le certificat.
Bref, on ne sait plus à qui se fier =)
SOURCE.:
Sécuriser son ordinateur (version courte)
Aucun commentaire:
Publier un commentaire