Infos

PrivDog, un logiciel publicitaire plus dangereux que Superfish

Laisse passer, Superfish. Un nouveau programme douteux devient le centre d’attention. Il est lui aussi capable de s’intégrer aux connexions HTTPS, mais, il serait peut-être plus dangereux que Superfish, qui était préinstallé sur les nouveaux ordinateurs portables Lenovo produits à la fin de l’année 2014.

Le chercheur Hanno Bock a déclaré que PrivDog, à l’instar de Superfish, installe son propre certificat et s’introduit dans la connexion SSL, créant ainsi une vulnérabilité pour une attaque de type "homme au milieu" qui peut être exploitée par n’importe quelle personne capable d’intercepter le trafic. Hanno Bock précise toutefois que bien que PrivDog ne renferme pas une vulnérabilité aussi évidente que Superfish, il va probablement provoquer des problèmes encore plus importants pour les utilisateurs.

PrivDog a été développé par le fondateur et le dirigeant de Comodo Melih Abdulhayoglu. PrivDog est livré avec Comodo Internet Security, un des produits phares de Comodo, mais uniquement en tant qu’extension du navigateur. C’est la version normale qui est vulnérable.

"PrivDog intercepte tous les certificats et les remplace par un certificat signé par sa clé racine. Cela concerne également les certificats non valide. Il oblige votre navigateur à accepter n’importe quel certificat HTTPS, signé ou non par une autorité de certification. L’analyse des détails est toujours en cours, mais nous pouvons déjà affirmer que cela ne présage rien de bon" a déclaré Hanno Bock.

Superfish, qui utilise la bibliothèque Komodia SSL Digester chargée de l’interception SSL, utilise le même certificat numérique et la même clé de chiffrement pour chaque installation. Le site de Komodia a été victime plus tard d’une attaque DDoS. Le chercheur Rob Graham d’Errata Security a déclaré, quelques heures après la publication de la description de la vulnérabilité Superfish, qu’il avait réussi à extraire la clé privée qui protégeait le certificat.

Hanno Bock a déclaré que le comportement de PrivDog est différent. Sa dernière version (3.0.96.0) contient une vulnérabilité et existe en tant qu’application autonome. Jusqu’à présent, l’application était proposée uniquement en tant qu’extension du navigateur dans le paquet Comodo Internet Security. D’après Hanno Bock, cette extension n’est pas directement vulnérable. Un communiqué de presse sur PrivDog désigne la vulnérabilité comme un "défaut irrégulier insignifiant" qui ne concerne qu’un "nombre très restreint d’utilisateurs". Selon l’organisation, 57 000 utilisateurs à travers le monde sont touchés par la vulnérabilité, dont 6 300 aux Etats-Unis.

"Dans certains cas particuliers, des certificats à signature automatique n’entraînent pas l’affichage d’un avertissement du navigateur, mais le chiffrement est toujours proposé, ce qui signifie que la sécurité ne soufre pas" peut-on lire dans un communiqué sur PrivDog. Des problèmes peuvent se manifester uniquement si l’utilisateur accède à un site qui possède un certificat auto-signé. D’après le communiqué, le problème a été éliminé dans la version 3.0.105.0.

Le groupe de réaction aux incidents informatiques de l’Institut de programmation de l’université Carnegie-Mellon, sous l’égide du Département de la Sécurité intérieure des Etats-Unis, a publié un avertissement relatif à cette vulnérabilité. Le Département de la Sécurité intérieure des Etats-Unis indique que les possibilités d’attaques de type "homme au milieu" dans PrivDog sont garanties par Netfilter SDK.

"Bien que le certificat de l’autorité de certification racine soit créé au moment de l’installation, ce qui permet d’obtenir des certificats différents pour chaque installation, PrivDog n’utilise pas les possibilités de validation du certificat SSL offertes par Netfilter SDK" affirme le communiqué. Cela signifie que les navigateurs n’afficheront aucun avertissement en cas de visite de sites factices ou de sites avec un "homme au milieu".

A l’instar de Superfish, le problème a été identifié dans plus d’une douzaine d’autres applications. Des experts de l’équipe de sécurité des informations de Facebook ont publié un rapport dans lequel on peut lire que toutes ces applications figurent dans la base VirusTotal avec leurs bibliothèques malveillantes Komodia.

"Nous ne sommes pas en mesure d’affirmer avec certitudes quels sont les objectifs de ces applications, mais aucune d’entre elles n’explique pourquoi elles interceptent le trafic SSL, ni ce qu’elles font avec les données" a déclaré Matt Richard, chercheur chez Facebook. Matt Richard a également publié une liste d’émetteurs de certificats et indiqué que la liste reprend les certificats de plus de 1 000 systèmes dans les applications, dont des jeux et des générateurs de fenêtres contextuelles.

Peter Hortensius, le Directeur technique de Lenovo, a présenté ses excuses dans une lettre ouverte adressée aux clients de la société. Le début de la préinstallation de Superfish sur les ordinateurs Lenovo remonte au mois de septembre dernier et très vite, les clients ont commencé à se plaindre de ses actions. Peter Hortensius a déclaré que Lenovo ne livrerait plus d’ordinateurs avec Superfish. La société a proposé une solution manuelle au problème quelques heures après la publication de la description de la vulnérabilité, puis elle a diffusé un correctif automatique. La société coopère également avec Microsoft et quelques acteurs de la sécurité des informations afin de désactiver Superfish et de le supprimer des ordinateurs.

Cela n’a toutefois pas empêché certains utilisateurs d’entamer des poursuites contre Lenovo. Le cabinet d’avocats Rosen de New York a déclaré qu’il envisageait un recours collectif contre Lenovo et invite toute personne qui a acheté un ordinateur Lenovo entre septembre 2014 et janvier 2015 à contacter le cabinet pour participer au recours potentiel.

Source : http://threatpost.com/privdog-adware-poses-bigger-risk-than-superfish/111211

PrivDog, un logiciel publicitaire plus dangereux que Superfish

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception