[Liberation] Pour la pub, Lenovo menace la sécurité

Posted on


Le fabricant chinois a préinstallé un « publiciel » dans ses PC, fragilisant l’authentification des sites web. […]

Sauf qu’il y a beaucoup plus grave. En ajoutant ces résultats sponsorisés, SuperFish porte atteinte à un système de sécurité central sur Internet : l’authentification des sites web. « Pour communiquer entre deux points de façon sécurisée, il existe un protocole : le https », explique Benjamin Sonntag, directeur technique de l’hébergeur Octopuce (et membre de la Quadrature du Net, association de défense des libertés numériques). Ce protocole est par exemple utilisé pour les paiements en ligne, afin d’éviter que les données bancaires ne se promènent dans la nature, qu’elles aillent directement de l’ordinateur au site de vente sans être visibles par un tiers. « Il permet aussi de vérifier que le site n’a pas été modifié », ajoute Stéphane Bortzmeyer, ingénieur réseaux.

Autre fonction cruciale, le https vérifie la « carte d’identité » du site. « Des entreprises, appelées autorités de certification, produisent des certificats une fois prouvée l’identité du propriétaire du site », poursuit Benjamin Sonntag. Exemple : le patron de Monsite.com contacte l’une de ces entreprises, atteste qu’il est le propriétaire légitime du site, et achète une « carte d’identité » reconnue. Les visiteurs pourront vérifier dans leur navigateur qu’ils sont bien sur Monsite.com, signé par une autorité reconnue, et qu’il s’affiche tel que le propriétaire l’a voulu. Pour avoir de la pub supplémentaire sur un site, donc en modifier le contenu, SuperFish se place au milieu de cette connexion, entre l’utilisateur et le site. Il procède à ce que les informaticiens appellent une attaque de l’homme du milieu (ou man-in-the-middle). […]

http://ecrans.liberation.fr/ecrans/2015/02/23/pour-la-pub-lenovo-menace-la-securite_1208589