PrivDog, un logiciel publicitaire plus dangereux que Superfish

Laisse passer, Superfish. Un nouveau programme douteux devient le centre d’attention. Il est lui aussi capable de s’intégrer aux connexions HTTPS, mais, il serait peut-être plus dangereux que Superfish, qui était préinstallé sur les nouveaux ordinateurs portables Lenovo produits à la fin de l’année 2014.

Le chercheur Hanno Bock a déclaré que PrivDog, à l’instar de Superfish, installe son propre certificat et s’introduit dans la connexion SSL, créant ainsi une vulnérabilité pour une attaque de type "homme au milieu" qui peut être exploitée par n’importe quelle personne capable d’intercepter le trafic. Hanno Bock précise toutefois que bien que PrivDog ne renferme pas une vulnérabilité aussi évidente que Superfish, il va probablement provoquer des problèmes encore plus importants pour les utilisateurs.

PrivDog a été développé par le fondateur et le dirigeant de Comodo Melih Abdulhayoglu. PrivDog est livré avec Comodo Internet Security, un des produits phares de Comodo, mais uniquement en tant qu’extension du navigateur. C’est la version normale qui est vulnérable.

"PrivDog intercepte tous les certificats et les remplace par un certificat signé par sa clé racine. Cela concerne également les certificats non valide. Il oblige votre navigateur à accepter n’importe quel certificat HTTPS, signé ou non par une autorité de certification. L’analyse des détails est toujours en cours, mais nous pouvons déjà affirmer que cela ne présage rien de bon" a déclaré Hanno Bock.

Superfish, qui utilise la bibliothèque Komodia SSL Digester chargée de l’interception SSL, utilise le même certificat numérique et la même clé de chiffrement pour chaque installation. Le site de Komodia a été victime plus tard d’une attaque DDoS. Le chercheur Rob Graham d’Errata Security a déclaré, quelques heures après la publication de la description de la vulnérabilité Superfish, qu’il avait réussi à extraire la clé privée qui protégeait le certificat.

Hanno Bock a déclaré que le comportement de PrivDog est différent. Sa dernière version (3.0.96.0) contient une vulnérabilité et existe en tant qu’application autonome. Jusqu’à présent, l’application était proposée uniquement en tant qu’extension du navigateur dans le paquet Comodo Internet Security. D’après Hanno Bock, cette extension n’est pas directement vulnérable. Un communiqué de presse sur PrivDog désigne la vulnérabilité comme un "défaut irrégulier insignifiant" qui ne concerne qu’un "nombre très restreint d’utilisateurs". Selon l’organisation, 57 000 utilisateurs à travers le monde sont touchés par la vulnérabilité, dont 6 300 aux Etats-Unis.

"Dans certains cas particuliers, des certificats à signature automatique n’entraînent pas l’affichage d’un avertissement du navigateur, mais le chiffrement est toujours proposé, ce qui signifie que la sécurité ne soufre pas" peut-on lire dans un communiqué sur PrivDog. Des problèmes peuvent se manifester uniquement si l’utilisateur accède à un site qui possède un certificat auto-signé. D’après le communiqué, le problème a été éliminé dans la version 3.0.105.0.

Le groupe de réaction aux incidents informatiques de l’Institut de programmation de l’université Carnegie-Mellon, sous l’égide du Département de la Sécurité intérieure des Etats-Unis, a publié un avertissement relatif à cette vulnérabilité. Le Département de la Sécurité intérieure des Etats-Unis indique que les possibilités d’attaques de type "homme au milieu" dans PrivDog sont garanties par Netfilter SDK.

"Bien que le certificat de l’autorité de certification racine soit créé au moment de l’installation, ce qui permet d’obtenir des certificats différents pour chaque installation, PrivDog n’utilise pas les possibilités de validation du certificat SSL offertes par Netfilter SDK" affirme le communiqué. Cela signifie que les navigateurs n’afficheront aucun avertissement en cas de visite de sites factices ou de sites avec un "homme au milieu".

A l’instar de Superfish, le problème a été identifié dans plus d’une douzaine d’autres applications. Des experts de l’équipe de sécurité des informations de Facebook ont publié un rapport dans lequel on peut lire que toutes ces applications figurent dans la base VirusTotal avec leurs bibliothèques malveillantes Komodia.

"Nous ne sommes pas en mesure d’affirmer avec certitudes quels sont les objectifs de ces applications, mais aucune d’entre elles n’explique pourquoi elles interceptent le trafic SSL, ni ce qu’elles font avec les données" a déclaré Matt Richard, chercheur chez Facebook. Matt Richard a également publié une liste d’émetteurs de certificats et indiqué que la liste reprend les certificats de plus de 1 000 systèmes dans les applications, dont des jeux et des générateurs de fenêtres contextuelles.

Peter Hortensius, le Directeur technique de Lenovo, a présenté ses excuses dans une lettre ouverte adressée aux clients de la société. Le début de la préinstallation de Superfish sur les ordinateurs Lenovo remonte au mois de septembre dernier et très vite, les clients ont commencé à se plaindre de ses actions. Peter Hortensius a déclaré que Lenovo ne livrerait plus d’ordinateurs avec Superfish. La société a proposé une solution manuelle au problème quelques heures après la publication de la description de la vulnérabilité, puis elle a diffusé un correctif automatique. La société coopère également avec Microsoft et quelques acteurs de la sécurité des informations afin de désactiver Superfish et de le supprimer des ordinateurs.

Cela n’a toutefois pas empêché certains utilisateurs d’entamer des poursuites contre Lenovo. Le cabinet d’avocats Rosen de New York a déclaré qu’il envisageait un recours collectif contre Lenovo et invite toute personne qui a acheté un ordinateur Lenovo entre septembre 2014 et janvier 2015 à contacter le cabinet pour participer au recours potentiel.

Source : http://threatpost.com/privdog-adware-poses-bigger-risk-than-superfish/111211

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *