All time Branchez-vous Branche Toi BetterBe Nerds Carrières

Grâce à Lenovo, nous sommes tous des superpoissons

Par Benoît Gagnon – le dans Actualités
Lorsqu'on achète un nouvel ordinateur, il est convenu qu’il soit rempli de différents logiciels. Ces derniers sont parfois utiles, mais la plupart sont considérés comme étant superflus. Le tout est connu comme étant du bloatware, ou boufficiel en français.

Le problème fondamental avec les boufficiels, c’est que le fabricant informatique vous impose sa présence avec votre matériel «tout neuf». Vous tentez de réinstaller votre OS avec le disque fourni avec votre ordinateur? Il y a de fortes chances que ces boufficiels soient intégrés à l’installateur.

Imaginez si certains constructeurs décidaient d’installer à votre insu un logiciel qui non seulement dans les faits serait caché, mais qui serait en plus une faille de sécurité béante. C’est ce qu’a fait Lenovo, pour notre plus grand bonheur à tous.

On va se le dire, ce genre de pratique est détestable. Cependant, dans la plupart des cas, il est possible de retirer ces boufficiels en les désinstallant. C’est fastidieux, certes, mais imaginez si certains constructeurs décidaient d’installer à votre insu un logiciel qui non seulement dans les faits serait caché, mais qui serait en plus une faille de sécurité béante.

C’est ce qu’a fait Lenovo, pour notre plus grand bonheur à tous. Je vous présente Superfish : un logiciel qui a pour but d’afficher des publicités supplémentaires à l’utilisateur possédant un ordinateur de l’entreprise chinoise. Bien entendu, ces publicités sont poussées après que ledit logiciel ait scruté vos activités sur le Web – question d’avoir des publicités qui vous ressemblent, évidemment.

Le problème fondamental de ce logiciel est qu’il utilise une attaque de type man-in-the-middle pour faire son travail. En effet, question de pouvoir lire le contenu de différents sites web et pousser de la publicité en tout temps, Superfish s’insère aussi au milieu des connexions SSL (intégrés au protocole HTTPS). C’est donc dire que Superfish lit ce qui se passe dans une connexion supposément sécurisée entre deux machines.

Superfish, Komedia et la gestion des certificats de sécurité

Superfish est la création de la compagnie Komodia. Avare de commentaires, l’entreprise se fait littéralement bombarder par différents spécialistes de sécurité qui décortiquent le logiciel en morceau en démontrant que le tout est un véritable trou de sécurité.

En effet, non content de s’infiltrer dans le protocole HTTPS, le logiciel offre une gestion déficiente des certificats de sécurité. Ce qui se passe, c’est que Superfish installe un certificat de sécurité racine autogénéré dans la voute des certificats de Windows et remplace tous les autres certificats exploitant le HTTPS avec son propre certificat. De plus, la clé de chiffrement privée est la même pour toutes les machines Lenovo. Elle a d’ailleurs été sécurisée avec le mot de passe hautement sécuritaire suivant : komodia. Bra–vo…

securiteinformatique

Finalement, l’engin même de Komodia offre le même genre de problématique. Cela signifie donc que bon nombre de logiciels de l’entreprise ont probablement le même genre de faille de sécurité – plusieurs entreprises doivent actuellement croiser leurs doigts pour ne pas se faire prendre la main dans le sac. Pour l’heure, la librairie de Komodia a été repérée dans les logiciels suivants (dont certains portent le même nom que les entreprises derrière) :

  • CartCrunch Israel Ltd.
  • WiredTools Ltd.
  • Say Media Group Ltd.
  • Over the Rainbow
  • Tech System Alerts
  • ArcadeGiant
  • Objectify Media Inc.
  • Catalytix Web Services
  • OptimizerMonitor

«Ok, en quoi c’est risqué», me demandez-vous? Grosso modo, ça veut dire qu’un criminel pourrait se créer un faux site bancaire en se basant sur le faux certificat de sécurité créé par Superfish. Dans ce cas, votre ordinateur ne serait pas en mesure de différencier le fait qu’il s’agit d’un faux site, avec ce que cela implique évidemment.

Une pratique délirante, mais pas surprenante

Alors que beaucoup ont été surpris par cette nouvelle, il faut comprendre deux choses.

Tout d’abord, plusieurs fabricants de logiciels et matériels informatiques tentent de rentabiliser davantage leurs produits en exploitant les données qu’ils peuvent recueillir sur leurs clients pour les utiliser à des fins marketing.

Tel que Sundar Pichai l’a déclaré cette semaine, nombreux disent que les produits Apple sont fixés à des prix exorbitants. La firme de Cupertino a toutefois l’avantage d’être claire quant à son modèle d’affaires : le prix du matériel est élevé puisque Apple veut faire sa marge bénéficiaire dès l’achat, non pas en revendant les données personnelles plus tard. De toute évidence, ce n’était pas le cas de Lenovo.

Si c'est gratuit, vous êtes le produit (Bill Murray)

Ensuite, ces mêmes fabricants vont souvent faire sous-traiter les méthodes de collecte de données à des entreprises qui se «spécialisent» dans ce genre de logiciels et dans l’analyse de données nécessaire à ces derniers. Faire sous-traiter un produit signifie souvent faire confiance à la compagnie qui fait le boulot pour vous, sans nécessairement vérifier de fond en comble ce qui a été fait. Du moment que les résultats sont là, on est content. On pourrait croire que c’est ce qui est arrivé dans le cas de Lenovo.

En somme, ce que l’on dit depuis des années s’applique encore dans le domaine de l’informatique. Lorsqu’un produit ou un service est abordable, voire carrément gratuit, il y a de fortes chances que ça soit vous le produit. Avec tout ce que cela implique. Notamment, que l’on soit des superpoissons.

Vidéo récente
- Actualités

Votre vie privée est encore sur vos vieux ordinateurs

Les dernières nouvelles

L’iPhone 2020 pourrait se parer d’un capteur 3D

L’iPhone 2020 pourrait se parer d’un capteur 3D

Branchez-vous -
FaceApp : l’appli manipule-t-elle vos données personnelles ?

FaceApp : l’appli manipule-t-elle vos données personnelles ?

Branchez-vous -
«Lesbienne» : l’algorithme Google ne renvoie plus (seulement) vers de la pornographie

«Lesbienne» : l’algorithme Google ne renvoie plus (seulement) vers de la pornographie

Matthieu Carlier -

Plus d'actualités

Nouvelle Nintendo Switch : l’autonomie va quasiment doubler !

Nouvelle Nintendo Switch : l’autonomie va quasiment doubler !

Branchez-vous -
Twitter change d’interface : voici toutes les nouveautés

Twitter change d’interface : voici toutes les nouveautés

Branchez-vous -
Fizz : le service Internet du futur?

Fizz : le service Internet du futur?

Branchez-vous -

Populaires

« Agent Smith », ce malware qui a contaminé 25 millions de smartphones Android

« Agent Smith », ce malware qui a contaminé 25 millions de smartphones Android

Branchez-vous -
Saint Seiya sur Netflix : pourquoi le nouveau trailer déçoit les fans

Saint Seiya sur Netflix : pourquoi le nouveau trailer déçoit les fans

Branchez-vous -
C’est confirmé, la Nintendo Switch va gagner en puissance

C’est confirmé, la Nintendo Switch va gagner en puissance

Branchez-vous -

Benoît Gagnon

Benoît Gagnon est directeur, cybersurveillance et sécurité de l’information pour le Corps canadien des Commissionnaires du Québec et ancien membre des services de renseignement criminels. Il est également membre de Crypto.Québec. Il a prononcé plus de 150 conférences liées à la sécurité et est souvent appelé à commenter l’actualité de sécurité dans les médias.