Cet homme est accusé d'être responsable de la débâcle "Superfish" de Lenovo

Cet homme est accusé d'être responsable de la débâcle "Superfish" de Lenovo Des experts en cybersécurité affirment que l'entreprise Komodia a joué un rôle déterminant dans le scandale du malware préinstallé sur les machines Lenovo.

Cela ne vous a sans doute pas échappé, le fabricant de PC Lenovo était, la semaine dernière, au centre d'une controverse pour avoir préinstallé sur ses ordinateurs portables un logiciel appelé Superfish qui agirait de manière très similaire à un malware.

Superfish peut percer le système de sécurité d'un ordinateur, et ainsi accéder aux messages codés envoyés par celui-ci, comme des mots de passe ou des coordonnées bancaires. Cet adware procède via ce que les experts appellent des attaques de type Man-In-The-Middle, qui permettent au logiciel d'intercepter des messages. Chaque site Internet est censé fournir un certificat de sécurité qui confirme son authenticité. Il s'agit de l'équivalent sur Internet de l'utilisation d'un permis de conduire en guise de pièce d'identité.

Superfish a contourné ce dispositif en créant de faux certificats de sécurité, pour faire croire aux ordinateurs qu'ils étaient sur le bon site. Les faux certificats venaient d'une entreprise appelée Komodia, comme l'a confirmé cette dernière à Ars Technica.

Voici une photo d'écran, postée sur Twitter, montrant Superfish qui se fait passer pour Bank of Amercia:

 

 

Des experts en cybersécurité se sont intéressés à ce cas et plus ils examinaient les activités de Komodia, plus celles-ci les ont inquiétés.

Komodia a développé une activité de vente de logiciels permettant de créer de faux certificats. La société revendique plus de 100 clients - dont certaines entreprises du Fortune 500.

Ars Technica rapporte le discours de l'entreprise:

"Via une interface facile d'usage, vous pouvez intercepter du trafic Internet et des applications réseau à partir de n'importe quel langage de programmation", détaille Komodia dans une vidéo promotionnelle. Le site Internet de l'entreprise qualifie carrément son kit de développement logiciel de "hacker du SSL".

Komodia met en avant certaines possibilités d'usage de ce type de logiciel, dans le domaine des applications de contrôle parental ou des applications permettant de surfer anonymement sur Internet.

Komodia aurait-il volontairement mis son site hors service pour mieux se cacher ?

Problème, Komodia a pris un gros raccourci dans le processus de création de sa technologie. C'est du moins ce qu'affirme Rob Graham, le PDG d'Errata Security.
La méthode la plus sûre de procéder dans un cas comme celui-ci est de faire en sorte que chaque PC utilise un mot de passe spécial pour les faux certificats, afin que cela n'attire pas les hackers. Si un hacker souhaite utiliser un faux certificat pour réunir les données de millions de PC, il doit hacker le mot de passe de chaque PC. Pas simple.
Komodia a choisi d'utiliser un seul mot de passe pour son logiciel de certificat. Un mot de passe qui est facilement devinable : "komodia". Il n'a fallu que trois heures à Rob Graham pour le trouver.

Et peu de temps après, Marc Rogers, chercheur en sécurité informatique pour CloudFare, a publié un rapport qui montre que Komodia a utilisé "la même infrastructure pour de très nombreux produits". "Ceci signifie que ces certificats suspects ne sont pas limités aux ordinateurs portables de Lenovo vendus au cours d'une période précise mais que n'importe quelle personne ayant rencontré un produit de Komodia ou ayant fait installer un logiciel de contrôle parental devrait s'assurer que son ordinateur n'est pas touché", explique cet expert.

Ce problème est bien plus grave que nous le pensions.

Nul ne sait combien de hackers sont allés fouiner sur des PC en utilisant le logiciel de Komodia, mais si des spécialistes de la sécurité informatique ont su l'exploiter en quelques heures, il en a très probablement été de même pour des hackers.

Komodia a déclaré que son site avait été mis hors service par une attaque en déni de service après que son implication dans l'affaire Superfish a été révélée - et celui-ci ne fonctionne toujours pas à l'heure actuelle.

Le site de Komodia a été mis hors service par une attaque DDoS © Business Insider

L'entreprise ne précise pas si ce déni de service s'explique par une attaque de hackers ou un surcroît de trafic internet dû à sa médiatisation récente.

Certaines personnes spéculent quant à une volontaire mise hors service du site par Komodia pour mieux se cacher.

Nous avons contacté le fondateur de Komodia, Barak Weichselbaum. Il a poliment refusé tout commentaire. Il a néanmoins confié à Forbes que son site avait effectivement subi une attaque. "Nous avons dû faire un choix entre nous concentrer là-dessus ou sur d'autres sujets. Comme vous pouvez l'imaginer, nous sommes assez occupés. J'ai vu des gens sur les forums dire que nous nous cachons mais il est toujours possible de retrouver notre site dans les Archives Internet, essayer de le cacher serait futile".  

Voici tout de même une bonne nouvelle : Filippo Valsorda, ingénieur de sécurité chez Cloudflare, a créé une page web depuis laquelle vous pouvez vérifier si Komodia intercepte des données à partir de votre ordinateur.
Microsoft et McAfee travaillent avec Lenovo pour permettre de reconnaître et de supprimer Superfish. Lenovo a d'ailleurs aussi posté un outil de suppression automatique pour aider à éradiquer le problème.

 

Article de Julie Borth. Traduction par Shane Knudson, JDN.
Voir l'article original: Experts are blaming this guy's company for the Lenovo Superfish debacle


 

 

 

Malware / Lenovo