Lorsqu’on achète un nouvel ordinateur, il est convenu qu’il soit rempli de différents logiciels. Ces derniers sont parfois utiles, mais la plupart sont considérés comme étant superflus. Le tout est connu comme étant du bloatware, ou boufficiel en français.
Le problème fondamental avec les boufficiels, c’est que le fabricant informatique vous impose sa présence avec votre matériel «tout neuf». Vous tentez de réinstaller votre OS avec le disque fourni avec votre ordinateur? Il y a de fortes chances que ces boufficiels soient intégrés à l’installateur.
Imaginez si certains constructeurs décidaient d’installer à votre insu un logiciel qui non seulement dans les faits serait caché, mais qui serait en plus une faille de sécurité béante. C’est ce qu’a fait Lenovo, pour notre plus grand bonheur à tous.
On va se le dire, ce genre de pratique est détestable. Cependant, dans la plupart des cas, il est possible de retirer ces boufficiels en les désinstallant. C’est fastidieux, certes, mais imaginez si certains constructeurs décidaient d’installer à votre insu un logiciel qui non seulement dans les faits serait caché, mais qui serait en plus une faille de sécurité béante.
C’est ce qu’a fait Lenovo, pour notre plus grand bonheur à tous. Je vous présente Superfish : un logiciel qui a pour but d’afficher des publicités supplémentaires à l’utilisateur possédant un ordinateur de l’entreprise chinoise. Bien entendu, ces publicités sont poussées après que ledit logiciel ait scruté vos activités sur le Web – question d’avoir des publicités qui vous ressemblent, évidemment.
Le problème fondamental de ce logiciel est qu’il utilise une attaque de type man-in-the-middle pour faire son travail. En effet, question de pouvoir lire le contenu de différents sites web et pousser de la publicité en tout temps, Superfish s’insère aussi au milieu des connexions SSL (intégrés au protocole HTTPS). C’est donc dire que Superfish lit ce qui se passe dans une connexion supposément sécurisée entre deux machines.
Superfish, Komedia et la gestion des certificats de sécurité
Superfish est la création de la compagnie Komodia. Avare de commentaires, l’entreprise se fait littéralement bombarder par différents spécialistes de sécurité qui décortiquent le logiciel en morceau en démontrant que le tout est un véritable trou de sécurité.
En effet, non content de s’infiltrer dans le protocole HTTPS, le logiciel offre une gestion déficiente des certificats de sécurité. Ce qui se passe, c’est que Superfish installe un certificat de sécurité racine autogénéré dans la voute des certificats de Windows et remplace tous les autres certificats exploitant le HTTPS avec son propre certificat. De plus, la clé de chiffrement privée est la même pour toutes les machines Lenovo. Elle a d’ailleurs été sécurisée avec le mot de passe hautement sécuritaire suivant : komodia. Bra–vo…
Finalement, l’engin même de Komodia offre le même genre de problématique. Cela signifie donc que bon nombre de logiciels de l’entreprise ont probablement le même genre de faille de sécurité – plusieurs entreprises doivent actuellement croiser leurs doigts pour ne pas se faire prendre la main dans le sac. Pour l’heure, la librairie de Komodia a été repérée dans les logiciels suivants (dont certains portent le même nom que les entreprises derrière) :
- CartCrunch Israel Ltd.
- WiredTools Ltd.
- Say Media Group Ltd.
- Over the Rainbow
- Tech System Alerts
- ArcadeGiant
- Objectify Media Inc.
- Catalytix Web Services
- OptimizerMonitor
«Ok, en quoi c’est risqué», me demandez-vous? Grosso modo, ça veut dire qu’un criminel pourrait se créer un faux site bancaire en se basant sur le faux certificat de sécurité créé par Superfish. Dans ce cas, votre ordinateur ne serait pas en mesure de différencier le fait qu’il s’agit d’un faux site, avec ce que cela implique évidemment.
Une pratique délirante, mais pas surprenante
Alors que beaucoup ont été surpris par cette nouvelle, il faut comprendre deux choses.
Tout d’abord, plusieurs fabricants de logiciels et matériels informatiques tentent de rentabiliser davantage leurs produits en exploitant les données qu’ils peuvent recueillir sur leurs clients pour les utiliser à des fins marketing.
Tel que Sundar Pichai l’a déclaré cette semaine, nombreux disent que les produits Apple sont fixés à des prix exorbitants. La firme de Cupertino a toutefois l’avantage d’être claire quant à son modèle d’affaires : le prix du matériel est élevé puisque Apple veut faire sa marge bénéficiaire dès l’achat, non pas en revendant les données personnelles plus tard. De toute évidence, ce n’était pas le cas de Lenovo.
Ensuite, ces mêmes fabricants vont souvent faire sous-traiter les méthodes de collecte de données à des entreprises qui se «spécialisent» dans ce genre de logiciels et dans l’analyse de données nécessaire à ces derniers. Faire sous-traiter un produit signifie souvent faire confiance à la compagnie qui fait le boulot pour vous, sans nécessairement vérifier de fond en comble ce qui a été fait. Du moment que les résultats sont là, on est content. On pourrait croire que c’est ce qui est arrivé dans le cas de Lenovo.
En somme, ce que l’on dit depuis des années s’applique encore dans le domaine de l’informatique. Lorsqu’un produit ou un service est abordable, voire carrément gratuit, il y a de fortes chances que ça soit vous le produit. Avec tout ce que cela implique. Notamment, que l’on soit des superpoissons.