Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Superfish a également des versions mobiles sur iOS et Android
Dotées de fonctionnalités de traçage

Le , par Stéphane le calme

121PARTAGES

0  0 
Suite à la controverse dont le logiciel Superfish a fait l’objet, la division américaine du constructeur chinois Lenovo s’est vue contrainte de présenter des excuses publiques à ses clients. « Nous sommes désolés, nous n’avons pas assuré, nous le reconnaissons » pouvait-on lire sur son Twitter officiel. Le constructeur s’est voulu rassurant lorsqu’il a fait la promesse que « cela ne se reproduira plus jamais » avant de guider les utilisateurs vers un guide de désinstallation.



Pour rappel, Superfish est un logiciel publicitaire qui était préinstallé sur certains modèles d’ordinateurs de Lenovo. L’adware était capable d’injecter des annonces publicitaires sur des pages web visitées par l’utilisateur et ce en dépit du navigateur dont il se servait ou même lorsque la connexion était supposée être sécurisée. Un fonctionnement qui constituait donc une faille dans la sécurité de l’ordinateur où il était installé puisqu’il rendait l’utilisateur vulnérable à des attaques man-in-the-middle.

Aussi, Microsoft et Lenovo ont émis des solutions pour atténuer le risque posé par le certificat racine de Superfish. Microsoft de son côté a créé une signature pour ses logiciels antivirus Windows Defender et Security Essentials qui inclut une routine qui va permettre non seulement d’enlever Superfish du système mais également des certificats racines du store de l’OS. Les deux programmes antivirus sont gratuits et intégré dans les versions depuis Windows Vista jusqu’à Windows 8.1. Ils agissent comme une protection par défaut pour le système d'exploitation si une solution tierce n’est pas installée. Il est donc recommandé de mettre vos programmes antivirus à jour.

Toutefois, si Firefox est utilisé pour la navigation, le certificat Superfish serait également injecté dans son magasin et devrait donc logiquement être éliminé de là. Dans ce cas, les routines de suppressions fournies par Microsoft seraient inefficaces. C’est ici que Lenovo intervient puisqu’il a couvert cette partie étant donné qu'il était au courant du fait que les préférences utilisateur de navigation peuvent s’étendre aux produits de Mozilla. Aussi, la société a créé et publié un outil de suppression automatique qui efface le certificat racine de Superfish dans Firefox et Thunderbird. Mais les difficultés peuvent s’étendre jusqu’à la version mobile dudit produit puisqu’il s’est avéré qu’elle contenait du code pour permettre le suivi des utilisateurs.

L'équivalent mobile pour Superfish est appelé LikeThat et est disponible pour les plateformes iOS et Android sur leurs vitrines en ligne respectives. L’application (LikeThat Décor and Furniture) est conçue pour aider les utilisateurs à faire leurs emplettes de mobilier en prenant simplement une photo de l’élément qu’ils souhaitent ; la photo sera alors téléchargée vers les serveurs de Superfish et des résultats visuels similaires issus de milliers de vendeurs s’afficheront dans la colonne des résultats. Il existe aussi une autre application appelée LikeThat Garden, spécifique qui concerne quant à elle les fleurs de votre jardin ou même encore LikeThat Pets : Adopt a pet.


Jonathan Zdziarski, un expert judiciaire iOS, a jeté un coup d'œil sur le code de l'application et a découvert qu'elle incluait des caractéristiques permettant d’identifier un périphérique par un identifiant unique, et de préserver toutes les données EXIF disponibles dans les photos prises par l'utilisateur afin de les envoyer vers ses serveurs. . « Donc même si vous n’avez pas fourni à l’application la permission d’avoir accès à votre GPS, cela pourrait ne pas être important si l’image est envoyée par le tuyau avec toutes les données EXIF qui s’y rattachent » explique-t-il sur un billet blog.

Le code d'identification, qui est également envoyé à une société d'analyse, est affecté à l'appareil sans aucune notification faites à l'utilisateur et il pourrait être établi à partir de l'adresse MAC de l’appareil mobile.

En ce qui concerne les données EXIF jointes aux images, la faille dans la sécurisation des données personnelles réside dans le fait qu'elles peuvent contenir la position GPS et le moment où la photo a été prise. Ainsi, plusieurs images prises à différents lieux peuvent permettre de retracer le parcours d'un utilisateur dans une période de temps spécifique

Le chercheur a également constaté que l’application LikeThat de Superfish sur la plateforme iOS est très invasive et possède du code qui peut tirer des informations sur l'appareil, comme l'espace disque libre, l’adresse MAC, la mémoire utilisée, la fréquence du processeur ou même le type d'affichage.

Dans le cas où les services de localisation ont été activés sur le périphérique, alors Superfish n'aura plus à s’appuyer sur les métadonnées des photos puisque la position GPS sera livrée à partir de ces services. Zdziarski souligne que l'autorisation de l'utilisateur est requise sur iOS, sur Android il ne le sait pas. « Même si on ne sait pas si ces caractéristiques sont actuellement activées dans les versions iOS ou Android de l’application, il semble que le soutien pour l’acquisition et de la transmission de votre position est au moins là, dans leur classe SFLocationAPI » a avancé le chercheur.

« Il semble Superfish se soit égaré en évitant d'utiliser la bonne méthode pour sélectionner une image de votre album photo (UIImagePicker), et a plutôt opté pour l’utilisation d’une technique qui pourrait permettre l'accès aux métadonnées sous-jacentes de l'image dont la plupart des utilisateurs n’ont même pas consciences d’avoir stockées », explique le chercheur.

Télécharger SuperFish Removal Utility (sur GitHub)

Vous pouvez voir si vous êtes infectés par le programme en suivant ce lien

Source : blog zdziarski

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de RyzenOC
Inactif https://www.developpez.com
Le 02/03/2015 à 16:23
Par ailleurs, la firme a décidé d’offrir aux utilisateurs affectés par Superfish un abonnement de six mois gratuit au service McAfee LiveSafe, ou une prolongation de six mois pour les abonnés existants.
Très jolie cadeau...

Il s’agit ici des logiciels qui sont nécessaires pour faire fonctionner correctement l’ordinateur (comme un appareil photo 3D), les logiciels de sécurité et les applications Lenovo. « Cela devrait éliminer ce que l’industrie appelle “adware” et “bloatware” », ajoute le constructeur.
Quelle logiciels a ton besoin pour faire fonctionner correctement l'ordinateur ? a par l'os et les pilotes je vois pas... .
Windows8 intègre déjà un antivirus, reconnaît très bien les ports USB/batterie et co, donc les programmes style Lenovo SHAREit, Message Center Plus ou encore SalesPlus, sa sert a rien a part pourrir l'expérience utilisateur si importante pour eux.

comme un appareil photo 3D
Sa c'est un exemple pertinent, je parie que 0% des utilisateurs Lenovo ont un appareil photo 3D
3  1 
Avatar de RyzenOC
Inactif https://www.developpez.com
Le 23/02/2015 à 11:23
Pour le SSD pas obligatoire surtout s'il y a un seul emplacement disque
Si il y'a 2 emplacement je pense que c'est "indispensable", une fois qu'on a gouté au SSD on peut plus s'en passer, d'autant plus que c'est pas très cher un petit SSD de 128Go pour l'os.

et même sans réinstaller l'os tu peux désinstaller les programmes
Oui mais rien ne vaut un formatage complet, sa permet de démarrer sur une base saine.

Windows est un OS qui pourrie a la longue (Linux et MAC OS surement aussi), Windows8 sa fait 2.5ans qu'il est installer et je commence a avoir des bugs (l'effet aerosnaps ne marche plus, j'ai explorer.exe qui plante une fois par mois...), mieux vaut avoir quelque chose de propre des le départ.
1  0 
Avatar de transgohan
Expert éminent https://www.developpez.com
Le 23/02/2015 à 21:15
Citation Envoyé par air-dex Voir le message
Si tu veux de la mémoire alors tu oublies le SSD. Les SSD c'est sans doute très bien d'un point de vue performances bien mais leurs capacités mémoires sont faibles. 128 Go ce n'est pas assez suffisant pour tenir sur la durée, ni même peut-être 256 Go. Perso j'avais environ 320 Go sur mon précédent PC dont 140 pour Windows et à la fin je n'en pouvais plus de devoir sans arrêt faire le ménage çà et là pour gratter 2-3 Go. Sur mon PC actuel j'ai volontairement fait le choix de prendre un HDD plutôt qu'un SSD justement à cause de ça. Mon HDD est peut-être plus lent, mais avec 1 To je suis tranquille pour longtemps, même en dual boot.

Après tu as totalement raison sur le fait qu'il faille partir sur des bases saines. Mais ceci est un autre débat, si tant est qu'il y ait débat sur ce sujet. Vivement Windows 10 me concernant.
Comment fais-tu pour avoir un windows qui grossi autant !
J'ai un PC avec windows XP depuis 7ans et malgré une utilisation de tous les jours la partition de l'OS ne dépasse pas les 40Go...

Après le but des SSD n'est clairement pas le stockage, la seule stratégie viable comme le disait sazearte est en effet d'avoir un second disque à côté.
1  0 
Avatar de macslan
Membre éclairé https://www.developpez.com
Le 24/02/2015 à 16:47
Citation Envoyé par marsupial Voir le message
De plus il est chinois depuis quelques années maintenant ( une dizaine ).
Enfaite Lenovo a toujours été une entreprise chinoise, tu confond peut-être avec l'achat de la branche PC d'IBM
1  0 
Avatar de 10_GOTO_10
Membre expérimenté https://www.developpez.com
Le 28/02/2015 à 1:04
J'ai un portable LENOVO, donc cette histoire m'a amené à m'intéresser aux certificats de mon navigateur sur cet ordi.

La bonne nouvelle, c'est que je n'ai pas trouvé de gros poisson, mais... Tous les certificats de tous les sites https sont signés Avast !

Après quelques recherches, j'ai trouvé l'explication ici:

http://security.stackexchange.com/questions/73476/why-is-avast-web-mail-shield-root-listed-as-ca-for-google-com

Donc mon antivirus fonctionne comme un Man In The Middle pour toutes mes connexions sécurisées. C'est pour mon bien, me dit-on, pour arrêter les virus qui seraient sur un site https avant qu'ils n'arrivent sur mon disque dur. Bon. Ca m'interpelle quand même pour deux raisons:

1) ça veut dire que mon anti-virus voit passer en clair tous les échanges que je pensais pouvoir être lus uniquement par moi et par le serveur distant. Il faut quand même avoir sacrément confiance en l'éditeur de l'antivirus. C'est fabriqué par qui, déjà, Avast ?

2) Si je comprends bien le fonctionnement, mon navigateur chiffre la connexion avec le certificat Avast, l'antivirus la déchiffre, l'analyse, et la re-chiffre avec le certificat du site https consulté. Mais mais mais... Donc ça veut dire que la clé privée de ce certificat est quelque part dans mon ordi ? Bien planquée, j'imagine (et j'espère), mais elle est là. Et donc, qu'en analysant un peu le programme, quelqu'un de motivé doit pouvoir la retrouver (je ne connais pas beaucoup de protections locales qui résistent à l'analyse de spécialistes). Par conséquent, quelqu'un ayant la clé privée peut à son tour jouer au Man In The Middle avec tous les ordinateurs ayant Avast ?

Je ne suis pas un spécialiste des certificats, il est possible que je comprenne un truc de travers. Mais ça m'intéresserait d'avoir l'avis d'un expert. En attendant, j'ai désactivé l'option dans mon antivirus.

PS: je parle ici d'Avast parce que c'est celui qui est installé sur mon ordinateur, mais il est probable que d'autres anti-virus fonctionnent de la même façon, je ne voudrais pas accuser un antivirus particulier.

[edit] Je n'avais pas vu le lien en bas de page, qui modère un peu mon propos:

https://security.stackexchange.com/questions/82285/are-the-certificates-from-skype-click-to-call-and-avast-web-mail-shield-any/82306?noredirect=1#comment136075_82306

En fait il semblerait qu'un certificat unique soit généré sur chaque ordinateur, à chaque installation. Dans les commentaires, certains sont quand même un peu sceptiques. Moi de même.
1  0 
Avatar de DarkBakura
Membre actif https://www.developpez.com
Le 02/03/2015 à 16:35
Eh bien, il faut croire que Lenovo a particulièrement tremblé pour faire toutes ces belles promesses. Sur le papier, c'est tout de même appréciable et donnerait même envie de se fournir chez eux si cela permet d'avoir dès l'achat une machine "propre".

Reste qu'il est dommage que ce genre de comportement ne survienne qu'après avoir été aussi sournois avec "l'affaire Superfish". Et surtout, il faudra voir si ces belles promesses se traduisent de manière concrète sur les futures machines, même si comme beaucoup l'ont souligné au moment où l'histoire a été révélée au grand jour, il serait un peu facile que Lenovo s'en tire avec de simples excuses et un changement (indispensable) de politique.

Pour l'antivirus par contre, c'est tout sauf un cadeau.
1  0 
Avatar de macslan
Membre éclairé https://www.developpez.com
Le 02/03/2015 à 22:13
Citation Envoyé par Hinault Romaric  Voir le message
Superfish : Lenovo promet des PC « plus propres et plus surs »[/SIZE][/B]
[B][SIZE="1"]sans adware et bloatware

Plus propres et plus surs
ou + propres et + surs
la est toute la question
1  0 
Avatar de yoyo3d
Membre éprouvé https://www.developpez.com
Le 06/09/2017 à 11:56
Lenovo est interdit de mal présenter toutes fonctionnalités, logiciels préchargés sur les ordinateurs portables qui injectent des publicités durant les séances de navigation Internet des consommateurs ou transmettent des informations sensibles des consommateurs à des tiers
il va falloir être beaucoup plus précis sur la définition de "Mal présenter" et surtout sur les "sanctions" encourues en cas de récidive avérée car sinon... Lenovo va continuer de pourrir les config avec leur conneries.... et se faire de la tune avec leur contrat de Pub
1  0 
Avatar de nchal
Membre expérimenté https://www.developpez.com
Le 06/09/2017 à 16:17
Ou alors, on leur fout le feu à tous ces cons de bloatware company (HP, Lenovo, Vaio,...).

Pour moi, il n'y a que 3 marque d'ordi:

1) ACER : Pas bien, pas cher
2) ASUS : Bien, cher
3) DELL : j'aime juste bien, je trouve ça clean
1  0 
Avatar de Citrax
Membre averti https://www.developpez.com
Le 22/02/2015 à 13:00
Les excuses c'est bien et un bon debut...

Mais c'est totalement innadmissible de la part d'un grand constructeur ! La confiance est brisée.
C'est du HACKING pur et dur, peut importe les bonnes ou futiles raisons.
Effectivement une fois mondialement BOYCOTTE, ils ne le referront plus !!!

Adios lenovo
0  0