[MàJ] Scandale Superfish : êtes-vous concerné ? Désinstaller et supprimer le certificat foireux

Le par  |  9 commentaire(s)
lenovo-y50

Sans se dédouaner, Lenovo a un peu de mal à reconnaître le potentiel de dangerosité introduit par sa pré-installation d'un adware dans des ordinateurs portables. Le fabricant donne la marche à suivre pour faire le ménage complet. MàJ : nouveaux éléments pour une suppression automatique.

MàJ : Lenovo adopte une communication plus directe et publie un avis de sécurité concernant ce qui est qualifié de vulnérabilité Superfish. Pour son potentiel d'exploitation avec des attaques man-in-the-middle, son niveau de dangerosité est considéré élevé mais non critique.

Lenovo propose en outre un outil de suppression automatique à télécharger et exécuter. Une alternative à la méthode manuelle évoquée précédemment. Cet outil assure la desinstallation complète de Superfish et de tous les certificats pour des navigateurs. À noter que son code source est disponible... histoire d'être transparent cette fois-ci.

Pour ceux qui ne sont pas forcément au courant, Microsoft a mis à jour Windows Defender (l'anti-malware par défaut dans Windows 8.x) afin de détecter Superfish et pouvoir le supprimer proprement, certificat électronique compris. Un petit souci toutefois dans la mesure où si un anti-malware tiers est présent, Windows Defender est désactivé. Lenovo s'est également rapproché de McAfee pour éradiquer Superfish.

Par ailleurs, la situation n'est pas claire concernant Firefox (et le client email Thunderbird). Firefox gère les certificats indépendamment de Windows. Il pourra être nécessaire de faire un tour dans les Options, puis Avancé et se rendre à l'onglet Certificats pour " Afficher les certificats ". Dans la fenêtre qui s'affichera (l'onglet Autorités), il faudra supprimer (bouton " Supprimer ou ne plus faire confiance ") l'éventuelle référence à Superfish (c'est la même procédure avec Thunderbird). Ce cas de figure n'aurait lieu que lorsque Superfish a été installé après Firefox. On n'est donc pas dans le cas de la pré-installation par Lenovo mais cela ne fait pas de mal de vérifier. Mozilla étudie la pertinence de proposer des mises à jour.

-----

Actualité publiée le 20 février 2015

Après l'éclatement du scandale Superfish qui a fait sortir de ses gonds la communauté des chercheurs en sécurité informatique, la communication de crise s'intensifie pour Lenovo. Dans un nouveau communiqué, le fabricant en dit davantage sur les produits concernés et les moyens de procéder à une désinfection complète.

Pré-installé dans des ordinateurs portables Windows avec un certificat électronique racine auto-signé, Superfish peut intercepter des communications avec des sites via HTTPS afin d'injecter des publicités dans les pages.

Mais c'est la présence de ce certificat électronique qui fait sourciller les experts. Selon eux, plus aucune connexion chiffrée ne peut être considérée comme sûre au regard d'une exposition à des attaques de type man-in-the-middle. Ledit certificat est en outre bancal et il est facile d'en extraire la clé privée… ce qui a du reste été fait.

Une même clé pour toutes les installations qui peut être utilisée afin de générer des certificats SSL qu'un site Web malveillant exploitera pour se faire passer comme légitime et de confiance. L'affaire est donc grave mais un responsable technique de Lenovo a déclaré au Wall Street Journal ne pas vouloir entrer dans un débat avec des experts en sécurité au sujet de " risques théoriques ". Il affirme que rien de malveillant n'a été signalé.

Pour autant, Lenovo a réagi comme évoqué précédemment dans nos colonnes. Le fabricant détaille en outre la liste des produits qui peuvent être affectés et livrés entre septembre et décembre 2014 : E10-30, Flex2 14, Flex2 15, Flex2 14D, Flex2 15D, Flex2 14 (BTM), Flex2 15 (BTM), Flex 10, G410, G510, G40-70, G40-30, G40-45, G50-70, G50-30, G50-45, Miix2 – 8, Miix2 – 10, Miix2 – 11, S310, S410, S415, S415 Touch, S20-30, S20-30 Touch, S40-70, U330P, U430P, U330Touch, U430Touch, U540Touch, Y430P, Y40-70, Y50-70, Yoga2-11BTM, Yoga2-11HSW, Yoga2-13, Yoga2Pro-13, Z40-70, Z40-75, Z50-70 et Z50-75.

On rappellera également la mise en ligne d'un outil tel que Superfish CA Test qui permet de savoir si une machine dispose du fameux certificat de Superfish.

Alors que les ponts de communication ont été coupés avec Superfish (côté serveur), Lenovo donne les instructions pour faire le ménage. Cela commence par la désinstallation de l'adware dans Windows.

Desinstaller-Superfish
Mais l'autre étape à ne pas oublier est la suppression du certificat électronique via le gestionnaire de certificats de Windows. Celui-ci peut être obtenu avec une recherche dans les paramètres Windows (" certificat ordinateur ") ou lancer directement depuis la commande Exécuter (raccourci clavier : touche Windows + R) et certmgr.msc. Le cas échéant, le certificat indésirable est à retrouver dans les certificats pour les autorités de certification racine de confiance :

Lenovo-certificat-Superfish-1 Lenovo-certificat-Superfish-2 

Dans le contexte actuel, la bourde du fabricant chinois contribue à augmenter une suspicion à tout-va.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1833271

Personnellement , je n'avais pas une très haute opinion des machines vendues par Lenovo...
Ca peut arriver à n'importe quel fabricant me direz-vous , mais bon ... pas vu , pas pris hein
Le #1833275
..//Dans le contexte actuel, la bourde du fabricant chinois..//

la bourde .. mais oui c'est cela.......

Le #1833292

Je viens d'acheter un ordinateur Lenovo (Y50-70)

Je ne connaissais pas Superfish mais après 35 ans d'informatique j'ai tout de suite senti qu'il y avait des choses bizarres. J'avais fait un premier balayage avec Mcafee, l'anti virus fourni avec les Lenovo, et rien n'avait été décelé(!)

J'ai donc désinstallé Mcafee eet installé AVG 2015 et Malwarebytes, qui eux ont tout de suite détecté quelques éléments de Superfish. mais pas tous puisque le Superfish CA Test que je viens d'exécuter a diagnostiqué la présence de Superfish. J'ai effectué toute la procédure d'éradication et je suis enfin délivré, selon le dernier Superfish CA Test, de cette saleté.

Moralité : il faut se méfier de Lenovo, si ce n'était déjà le cas, mais aussi de Mcaffee!

J'ai traduit en français, avec Google, le document de filehippo et je le publie sur mon site www.deridet.com

Merci à GNT pour cet article.
Le #1833344

Il faut également enlever Browser Guard, "utilitaire" fourni avec les Lenovo.

Source : http://www.makeuseof.com/tag/lenovo-pc-owners-beware-computer-preinstalled-malware/

En fait, se méfier de tous les programmes fournis avec les machines Lenovo.

Le mieux étant de reformater l'ordi. Mais je suppose qu'on perd alors la licence Windows 8.1.

Dans tous les cas il vaut meux investir dans un bon anti malware.

Le #1833345
Dernière nouvelles : Lenovo fournit un utilitaire pour désinstaller automatiquement Superfish.

Avec les sources !!! (Il valait mieux !)

Voir ici : http://support.lenovo.com/us/en/product_security/superfish_uninstall

Le problème, c'est que Lenovo fournit avec ses machines des tas d'utilitaires maison, qui, maintenant, n'inspirent plus du tout confiance, comme :

Shareit (!)
Phone companion (!)
Hightail (!)

S'ils s'appuyaient tous sur Superfish, ça devrait aller après l'éradication de celui-ci, mais rien n'est moins sûr.

Les chinois n'avaient déjà pas bonne réputation en informatique mais après l'épisode Superfish, ça va être dur pour eux. Sans oublier, évidement, que les américains n'ont rien à leur envier dans ce domaine.

A ce sujet, je vous recommande la lecture de cet article : http://www.howtogeek.com/207692/yes-every-freeware-download-site-is-serving-crapware-heres-the-proof/

Si vous aviez encore quelques illusions, oubliez-les.
Le #1833378
mmmmh, quelque soit le constructeur, la première chose à faire juste après l'achat, c'est de se débarrasser des tonnes de crapwares et logiciels inutiles installés par défaut.

Ou mieux, si on a une licence Windows valide, réinstaller complètement sur une base propre. Perso en laptop je n'ai que des Thinkpads, mais ils tournent tous sous OpenBSD, donc Superfish, comment dire, ça m'en touche une sans faire bouger l'autre.

Par contre, je me dis que ça pourrait valoir le coup de regarder de plus près les BIOS UEFI des derniers modèles sortis… Parceque là aussi, on doit pouvoir en coller, des saloperies
Le #1833408
Ce type d'injection "légale" devrait relever du pénal en France.
Le #1833409
lapopudesrezos a écrit :

Ce type d'injection "légale" devrait relever du pénal en France.


notre gouvernement commence juste a découvrir que l’informatique existe
Anonyme
Le #1833998
Purée... depuis longtemps que je suis sous linux, et je regarde tout ça de loin...avec un petit air cool et relax ...

Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]