Superfish : l’adware préinstallé sur les ordinateurs portables Lenovo

24 Fév 2015

Le 19 février 2015, une information nous confirmait que les ordinateurs portables Lenovo ont été mis sur le marché alors qu’ils contenaient un adware préinstallé connu sous le nom de Superfish. Il y a donc deux problèmes majeurs concernant cette découverte.

superfish

Le premier problème concerne le fait que le fabricant a mis à la disposition des consommateurs des ordinateurs portables avec un adware préinstallé depuis plusieurs mois – de septembre 2014 à février 2015.

Le second problème est lié à la façon dont se comporte Superfish. Sa capacité à produire un certificat d’autorisation permet éventuellement à une tierce personne malveillante d’intercepter les connexions SSL / TLS,  ou pour le dire simplement, les sessions de navigateur Web utilisant des liens « https« .

 

Maintenant, nous allons jeter un coup d’œil de plus près au dernier problème évoqué afin d’observer le comportement réel de Superfish.

Ci-dessous, voici une capture d’écran d’un site de banque en ligne, accessible via Internet Explorer à partir d’un ordinateur  » sain  » sans adware. En cliquant sur l’icône de verrouillage, il affiche les informations du certificat SSL:

superfish1

Accès à la banque en ligne depuis un ordinateur  » sain « 

 

 

Le certificat SSL est émis par une autorité de certification (CA) pour assurer la propriété du site Web. Dans ce cas, VeriSign est l’émetteur du certificat qui garantit l’identité de « Japan xxxx BANK Co,Ltd. » Le certificat est également utilisé pour chiffrer l’identifiant de l’utilisateur ou un mot de passe sur une session chiffrée. La sécurité de la connexion est assurée de cette façon.

La capture d’écran suivante provient du même site Web. Mais cette fois-ci, il est accessible via Internet Explorer à partir d’un ordinateur infecté par Superfish. Son certificat SSL affiche maintenant « Superfish » comme étant l’émetteur au lieu de « VeriSign ».

superfish2

Accès à la banque en ligne depuis un ordinateur infecté

 

Quelle est donc la cause de ce changement ? Superfish possède sa propre CA (autorité de certification) sur son logiciel. Ceci permet de pirater la session Web de l’utilisateur, produire un certificat et établir la connexion SSL afin de l’utiliser. Malheureusement, les navigateurs Web considèrent le certificat Superfish généré comme étant légitime. De ce fait, la CA est maintenant Superfish, et non plus VeriSign.

Le pire scénario possible dans ce cas est un vol de données à partir d’une session Web avec un site bancaire

De plus, une clé privée pour générer un certificat est incluse dans le logiciel et à la disposition des personnes qui le souhaitent. Le mot de passe de la clé a été révélé sur Internet. Avec ces deux éléments, une personne malintentionnée peut espionner les données transmises via une connexion chiffrée ou y injecter un code malveillant. Le pire scénario possible dans ce cas est un vol de données à partir d’une session Web avec un site bancaire.

 

Nous recommandons fortement aux utilisateurs d’ordinateurs portables Lenovo contenant Superfish de supprimer un logiciel nommé « Superfish Inc. Visual Discovery » (à partir du panneau de configuration de Windows) ainsi que le certificat Superfish (à partir de la liste des Autorités de certification racine de confiance).

Les produits Kaspersky peuvent vous aider à savoir, si vous ordinateur portable est affecté: notre produit détecte l’adware comme un non-virus: AdWare.Win32.Superfish.b.

Lenovo met à disposition Automatic Removal Tool for Superfish dans leur Bulletin d’alerte (LEN-2015-101).