Scandale "Superfish" : Lenovo livre un outil pour enlever le malware

Un logiciel préinstallé dans des PC Lenovo compromet gravement la sécurité des échanges chiffrés via SSL. Le groupe chinois explique comment résoudre le problème.

Certains PC vendus par Lenovo contiennent des logiciels non désirés qui scandalisent des professionnels de l'informatique et de la sécurité. Agissant comme un "adware", ces programmes appelés Superfish peuvent injecter des publicités dans les résultats remontés par Google, sur Internet Explorer ou Chrome. Ce qui n'est déjà pas très plaisant. Mais pire, il apparait que cet adware peut gravement perturber le bon déroulement des échanges sécurisés et chiffrés via SSL.

Un spécialiste de la sécurité a pu diffuser sur Twitter des captures d'écran qui résument bien le problème : le certificat d'une banque, au lieu d'avoir été délivré par l'autorité de certification VeriSign, l'a été par Superfish. En créant ses propres certificats, Superfish peut à la fois injecter ses publicités mais aussi lire les données dans des pages qui sont censées être protégées. En d'autres termes, l'adware Superfish rend les possesseurs de ces PC vulnérables à des attaques de type Man-In-the-Middle, et permet à des tiers d'accéder, en clair, à des données censées être chiffrées via SSL.

Inutile de préciser que de telles pratiques choquent les spécialistes de la sécurité informatique. Le fabricant Lenovo n'a réagi que mollement, affirmant que l'adware n'était plus préinstallé sur les machines. Mais des PC équipés de cet adware sont encore vendus.

 Mise à jour 20/02/2014. Pointé du doigt dans le monde entier, Lenovo a un peu tardé à prendre conscience de l'ampleur du problème. Mais le numéro 1 du PC dans le monde a fini par fournir un PDF expliquant comment désinstaller le malware Superfish, et résoudre les problèmes liés au certificat. Il semble toutefois avoir oublié certains utilisateurs. Des tests en ligne permettent de vérifier une éventuelle vulnérabilité. La liste des PC concernés a aussi été publiée.

Le CTO de Lenovo, Peter Hortensius, a réalisé un délicat SAV via plusieurs entretiens, mais il a donné l'impression de vouloir sous-estimé la gravité d'un problème qu'il jugeait surtout "théorique". A Bloomberg, il a toutefois admis "avoir fait une erreur" et ne pas "chercher à s'en cacher."

 Mise à jour 23/02/2014.
 Lenovo a livré un outil conçu pour automatiser la procédure de suppression du malware. Il permet aussi de combler la faille qu'il exploite. Le constructeur a aussi indiqué travailler sur le sujet avec deux de ses partenaires éditeurs d'antivirus, McAfee et Microsoft. Dans la foulée, Microsoft a d'ailleurs mis à jour la base de signatures de Windows Defender dans le but de détecter le code malicieux.

Malware / PC