Passer au contenu

Alerte : les pirates s’emparent de la faille Superfish pour mener des attaques

Les chercheurs en sécurité exhortent les éditeurs antivirus à ne plus utiliser les techniques d’interception SSL. Mais ces derniers estiment qu’il n’y a pas d’alternative.

Le scandale Lenovo/Superfish ne cesse de croître. Deux chercheurs en sécurité de l’association Electronic Frontier Foundation (EFF) sont convaincus que des pirates sont en train d’exploiter la faille de sécurité de ce pourriciel pour usurper des sites web et lancer des attaques « Man-in-the-middle ». Installé par défaut sur certains ordinateurs Lenovo, Superfish incorpore en effet un proxy local créé par la société Komodia, permettant de déchiffrer à la volée les connexions SSL/TLS. Le problème, c’est que cet outil fragilise la procédure de validation des certificats : le navigateur est incapable de vérifier l’intégrité d’un site web.

Grâce à l’Observatoire HTTPS Everywhere d’EFF, qui collecte des certificats de sécurité un peu partout dans le monde, les chercheurs ont dénombré 1.600 cas dans lesquels des connexions SSL ont été acceptées alors que les certificats n’étaient pas valides. Parmi les domaines concernés figurent de grands noms tels que Google, Yahoo, Bing, Windows Live Mail, Amazon, Twitter, Netflix, Mozilla… « Il est probable que certains de ces domaines ont des certificats invalides pour des raisons internes, comme une erreur de configuration technique par exemple. Mais il est peu probable que tous ces domaines soient concernés. Il est donc possible que des attaques réelles de type MitM aient lieu au travers de Komodia », expliquent-ils.   

Par acquis de conscience, les chercheurs ont également scanné les connexions réalisées au travers de PrivDog, un logiciel de sécurité qui s’appuie également sur un proxy SSL local et qui a la brillante idée d’accepter tous les certificats SSL. Résultat : ils ont trouvé 17.000 certificats différents, dont « chacun pourrait être lié à une attaque, mais il est impossible de le savoir ».

La validation de certificat, un processus délicat

Face à ce désastre, leur conclusion est radicale : les éditeurs ne devraient plus utiliser de proxy SSL dans leurs logiciels, en raison du risque potentiel que cela comporte. « La validation de certificat SSL est un processus très compliqué et délicat que les développeurs de navigateurs ont mis des dizaines d’années à mettre au point par une ingénierie précautionneuse. Réaliser cette validation en dehors du navigateur et essayer de créer un bout de logiciel cryptographique à partir de rien et sans réaliser de minutieux audits de sécurité, c’est une façon certaine d’aller dans le mur », soulignent-ils.

C’est d’autant plus vrai que la plupart des éditeurs de sécurité utilisent cette technique d’interception SSL. Dans une note de blog, le PDG de Comodo, Melih Abduhayoglu, en liste d’emblée une petite dizaine : Kaspersky, BitDefender, Eset, AVG, Avast, Trend Micro, Symantec… En résumé, tous les éditeurs les plus importants de suites de sécurité… Pourquoi dénoncer ainsi ses petits camarades ? Parce que Comodo est une victime collatérale de l’affaire Lenovo. Comme Superfish, l’éditeur utilisait également la technologie de Komodia et a donc été montré du doigt. Du coup, M. Abduhayoglu cherche à rétablir la « vérité ». Selon lui, il n’y a d’ailleurs pas d’autre alternative. « Comment voulez-vous vérifier qu’il n’y a rien de malveillant dans un contenu [chiffré] sans le déchiffrer ? Bien sûr, vous ne pouvez pas. Et dans ce cas, si des criminels établissent une connexion chiffrée avec votre ordinateur, ils peuvent vous envoyer autant de malwares qu’ils veulent. Comme vous ne déchiffrez pas le flux, vous n’en saurez rien », explique le dirigeant, un brin énervé.  

On voit donc que la question est épineuse…

Lire aussi :

Comment supprimer le certificat Superfish ?, le 20/02/2015

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert Kallenborn