All time Branchez-vous Branche Toi BetterBe Nerds Carrières

Grâce à Lenovo, nous sommes tous des superpoissons

Par Benoît Gagnon – le dans Actualités
Lorsqu'on achète un nouvel ordinateur, il est convenu qu’il soit rempli de différents logiciels. Ces derniers sont parfois utiles, mais la plupart sont considérés comme étant superflus. Le tout est connu comme étant du bloatware, ou boufficiel en français.

Le problème fondamental avec les boufficiels, c’est que le fabricant informatique vous impose sa présence avec votre matériel «tout neuf». Vous tentez de réinstaller votre OS avec le disque fourni avec votre ordinateur? Il y a de fortes chances que ces boufficiels soient intégrés à l’installateur.

Imaginez si certains constructeurs décidaient d’installer à votre insu un logiciel qui non seulement dans les faits serait caché, mais qui serait en plus une faille de sécurité béante. C’est ce qu’a fait Lenovo, pour notre plus grand bonheur à tous.

On va se le dire, ce genre de pratique est détestable. Cependant, dans la plupart des cas, il est possible de retirer ces boufficiels en les désinstallant. C’est fastidieux, certes, mais imaginez si certains constructeurs décidaient d’installer à votre insu un logiciel qui non seulement dans les faits serait caché, mais qui serait en plus une faille de sécurité béante.

C’est ce qu’a fait Lenovo, pour notre plus grand bonheur à tous. Je vous présente Superfish : un logiciel qui a pour but d’afficher des publicités supplémentaires à l’utilisateur possédant un ordinateur de l’entreprise chinoise. Bien entendu, ces publicités sont poussées après que ledit logiciel ait scruté vos activités sur le Web – question d’avoir des publicités qui vous ressemblent, évidemment.

Le problème fondamental de ce logiciel est qu’il utilise une attaque de type man-in-the-middle pour faire son travail. En effet, question de pouvoir lire le contenu de différents sites web et pousser de la publicité en tout temps, Superfish s’insère aussi au milieu des connexions SSL (intégrés au protocole HTTPS). C’est donc dire que Superfish lit ce qui se passe dans une connexion supposément sécurisée entre deux machines.

Superfish, Komedia et la gestion des certificats de sécurité

Superfish est la création de la compagnie Komodia. Avare de commentaires, l’entreprise se fait littéralement bombarder par différents spécialistes de sécurité qui décortiquent le logiciel en morceau en démontrant que le tout est un véritable trou de sécurité.

En effet, non content de s’infiltrer dans le protocole HTTPS, le logiciel offre une gestion déficiente des certificats de sécurité. Ce qui se passe, c’est que Superfish installe un certificat de sécurité racine autogénéré dans la voute des certificats de Windows et remplace tous les autres certificats exploitant le HTTPS avec son propre certificat. De plus, la clé de chiffrement privée est la même pour toutes les machines Lenovo. Elle a d’ailleurs été sécurisée avec le mot de passe hautement sécuritaire suivant : komodia. Bra–vo…

securiteinformatique

Finalement, l’engin même de Komodia offre le même genre de problématique. Cela signifie donc que bon nombre de logiciels de l’entreprise ont probablement le même genre de faille de sécurité – plusieurs entreprises doivent actuellement croiser leurs doigts pour ne pas se faire prendre la main dans le sac. Pour l’heure, la librairie de Komodia a été repérée dans les logiciels suivants (dont certains portent le même nom que les entreprises derrière) :

  • CartCrunch Israel Ltd.
  • WiredTools Ltd.
  • Say Media Group Ltd.
  • Over the Rainbow
  • Tech System Alerts
  • ArcadeGiant
  • Objectify Media Inc.
  • Catalytix Web Services
  • OptimizerMonitor

«Ok, en quoi c’est risqué», me demandez-vous? Grosso modo, ça veut dire qu’un criminel pourrait se créer un faux site bancaire en se basant sur le faux certificat de sécurité créé par Superfish. Dans ce cas, votre ordinateur ne serait pas en mesure de différencier le fait qu’il s’agit d’un faux site, avec ce que cela implique évidemment.

Une pratique délirante, mais pas surprenante

Alors que beaucoup ont été surpris par cette nouvelle, il faut comprendre deux choses.

Tout d’abord, plusieurs fabricants de logiciels et matériels informatiques tentent de rentabiliser davantage leurs produits en exploitant les données qu’ils peuvent recueillir sur leurs clients pour les utiliser à des fins marketing.

Tel que Sundar Pichai l’a déclaré cette semaine, nombreux disent que les produits Apple sont fixés à des prix exorbitants. La firme de Cupertino a toutefois l’avantage d’être claire quant à son modèle d’affaires : le prix du matériel est élevé puisque Apple veut faire sa marge bénéficiaire dès l’achat, non pas en revendant les données personnelles plus tard. De toute évidence, ce n’était pas le cas de Lenovo.

Si c'est gratuit, vous êtes le produit (Bill Murray)

Ensuite, ces mêmes fabricants vont souvent faire sous-traiter les méthodes de collecte de données à des entreprises qui se «spécialisent» dans ce genre de logiciels et dans l’analyse de données nécessaire à ces derniers. Faire sous-traiter un produit signifie souvent faire confiance à la compagnie qui fait le boulot pour vous, sans nécessairement vérifier de fond en comble ce qui a été fait. Du moment que les résultats sont là, on est content. On pourrait croire que c’est ce qui est arrivé dans le cas de Lenovo.

En somme, ce que l’on dit depuis des années s’applique encore dans le domaine de l’informatique. Lorsqu’un produit ou un service est abordable, voire carrément gratuit, il y a de fortes chances que ça soit vous le produit. Avec tout ce que cela implique. Notamment, que l’on soit des superpoissons.

Vidéo récente
- Actualités

Voici les jeux vidéo de la rentrée 2019 !

Les dernières nouvelles

Nintendo Switch : la manette SNES sans fil est là!

Nintendo Switch : la manette SNES sans fil est là!

Branchez-vous -
Facebook relance Portal, sa gamme d’écrans connectés

Facebook relance Portal, sa gamme d’écrans connectés

Matthieu Carlier -
Le Wi-Fi 6 est arrivé, mais qu’est-ce que ça change ?

Le Wi-Fi 6 est arrivé, mais qu’est-ce que ça change ?

Branchez-vous -

Plus d'actualités

Le matériau le plus noir au monde créé par des chercheurs du MIT

Le matériau le plus noir au monde créé par des chercheurs du MIT

Branchez-vous -
iPhone 11, 11 Pro et 11 Pro Max : les premiers tests et «unboxings» sont arrivés

iPhone 11, 11 Pro et 11 Pro Max : les premiers tests et «unboxings» sont arrivés

Matthieu Carlier -
«Seinfeld» arrivera sur Netflix en 2021

«Seinfeld» arrivera sur Netflix en 2021

Branchez-vous -

Populaires

My Activity : Voici tout ce que Google sait sur vous

My Activity : Voici tout ce que Google sait sur vous

Laurent LaSalle -
Google Chrome 77 : voici toutes les nouveautés de la mise à jour

Google Chrome 77 : voici toutes les nouveautés de la mise à jour

Branchez-vous -
Avant-première: notre essai de The Legend of Zelda: Link’s Awakening

Avant-première: notre essai de The Legend of Zelda: Link’s Awakening

Daniel Carosella -

Benoît Gagnon

Benoît Gagnon est directeur, cybersurveillance et sécurité de l’information pour le Corps canadien des Commissionnaires du Québec et ancien membre des services de renseignement criminels. Il est également membre de Crypto.Québec. Il a prononcé plus de 150 conférences liées à la sécurité et est souvent appelé à commenter l’actualité de sécurité dans les médias.