Apparemment, peu de choses ont changé en dix ans. Il y a dix ans - presque jour pour jour - j'ai fait une présentation à la conférence RSA 2005 à San Francisco sur un logiciel publicitaire/malveillant qui menait des attaques de type Man-in-the-Middle (MitM) sur les connexions SSL de ses victimes. La semaine dernière, on a découvert qu'un grand nombre d'ordinateurs portables Lenovo avaient été livrés avec software d'une société appelée Superfish qui fait exactement la même chose.
Les parallèles sont étrangement similaires :
- Tous deux faisaient partie du site software qui était censé avoir des utilisations légitimes
- Les représentants des deux entreprises ont affirmé que leur site software n'était pas de nature malveillante
- Les deux se sont retrouvés sur les machines en étant regroupés avec d'autres software
- La réussite de ces deux opérations dépendait du placement d'un nouveau certificat racine dans le magasin de certificats de la racine de confiance de la machine
- Dans les deux cas, ce nouveau certificat racine était nettement moins sûr que les racines de confiance légitimes du système
Superfish collecte-t-il les numéros de cartes de crédit, les mots de passe et autres données sensibles de tout un chacun ? Probablement pas. Mais ce qui est important, c'est qu'à travers cette connexion, ils pourraient le faire. Pire encore, il est possible que d'autres personnes le fassent également : Étant donné que le certificat ajouté à la liste des racines de confiance possède une clé trop petite pour les normes actuelles (1024 bits), toute personne capable d'extraire cette clé plus petite serait en mesure de mener ses propres attaques MitM en utilisant le certificat racine de Superfish. Ils pourraient également utiliser une racine compromise pour mener d'autres attaques telles que la signature de codes ou de documents frauduleux.
Comme en 2005, les certificats racine auxquels vos systèmes font confiance constituent un élément essentiel de votre dispositif de sécurité. Il existe de nombreuses raisons légitimes d'ajouter de nouveaux certificats racine à un magasin de racines de confiance. Mais accorder sa confiance à un nouveau certificat racine n'est pas anodin et c'est une décision qui doit être prise par les propriétaires de la machine. Cependant, apparemment comme en 2005, ces magasins de racines de confiance ne reçoivent toujours pas l'attention et la sensibilisation qu'ils méritent.
UPDATE :
Apparemment, la clé privée de la racine de Superfish faisait également partie de la distribution et a été piratée. Superfish n'avait pas besoin d'inclure la clé privée dans son site software pour réaliser son attaque de type "man-in-the-middle", mais il semble qu'il l'ait fait.
Cela signifie que toute personne sachant ce qu'elle fait peut utiliser la racine Superfish pour signer du code, des documents, des courriels ou même créer sa propre attaque man-in-the-middle, plus malveillante, à l'adresse SSL . Si vous avez la racine Superfish sur votre système, débarrassez-vous en au plus vite.
