samedi 28 février 2015
Supprimer Superfish de Firefox
(Cet article est la traduction de Getting Superfish out of Firefox de Richard Barnes publié hier sur le blog sécurité de Mozilla)
Si vous lisez ceci sur un PC portable Lenovo récent, cliquez sur l’icône de cadenas dans la barre d’URL, puis sur « Plus d’informations… ». Si vous voyez « Vérifié par Superfish, Inc. », votre PC est infecté par Superfish, et vous devez suivre ces instructions pour le supprimer.
L’adware Superfish distribué par Lenovo a mis la question de l’interception SSL de nouveau à la une des journaux. L’interception SSL est une technique qui permet à d’autres logiciels sur l’ordinateur d’un utilisateur de surveiller et de contrôler ses visites de sites Web sécurisés – cependant, elle permet également aux pirates de se faire passer pour des sites Web sécurisés, afin d’espionner l’utilisateur ou de voler des informations personnelles. Firefox est affecté par Superfish, mais Mozilla déploie un correctif qui fonctionne avec d’autres logiciels de désinfection pour s’assurer que Firefox est désinfecté aussi.
Comme d’autres logiciels d’interception SSL, Superfish cherche à ajouter une fonctionnalité au Web en interceptant les connexions Web sécurisées et en injectant un contenu dans les sites Web. Afin d’être en mesure d’injecter du contenu dans des connexions sécurisées, il ajoute un certificat racine de confiance dans le magasin de certificats de Windows et Firefox. Avec cette autorité de confiance en place, Superfish peut effectivement créer une fausse carte d’identité pour tout site web, de sorte qu’il peut convaincre que le navigateur Firefox est connecté au site réel – même s’il est en réalité connecté à Superfish.
Ce ne serait pas pire que d’autres variétés d’adware sauf que Superfish utilise le même certificat racine pour tous les ordinateurs infectés, et la clé privée de ce certificat a été extraite et publiée sur l’Internet. En utilisant cette clé privée, n’importe qui sur Internet (et pas seulement Superfish) peut créer une fausse carte d’identité qu’un navigateur infecté acceptera. Donc, si vous utilisez un ordinateur infecté par Superfish, au lieu de vous connecter en toute sécurité à votre banque, vous pourriez en fait être connecté à un criminel qui présente une fausse carte d’identité de votre banque.
Il semble que sur les systèmes affectés (par exemple, les ordinateurs portables Lenovo préchargés avec Superfish), Superfish infecte Firefox en ajoutant son certificat racine au magasin de certificats. La bonne nouvelle, c’est que selon les recherches effectuées par Facebook et l’Electronic Frontier Foundation , il apparait que relativement peu d’utilisateurs de Firefox ont été infectés. La mauvaise nouvelle, c’est que certains des outils de désinfection actuels ne désinfectent pas Firefox.
Pour les utilisateurs qui souhaitent s’assurer qu’ils sont désinfectés, la meilleure chose à faire est de suivre les instructions de Lenovo pour enlever Superfish. Cela permettra d’éliminer Superfish entièrement de l’ordinateur, y compris de Firefox.
D’autres outils de désinfection suppriment Superfish de Windows, mais pas de Firefox. Afin de s’assurer que les utilisateurs ne sont pas vulnérables, nous déployons aujourd’hui un correctif qui détecte si Superfish a été supprimé, et si oui, supprime le certificat Superfish de Firefox. Nous n’enlevons pas le certificat racine si le logiciel Superfish est toujours installé, car cela empêcherait l’utilisateur d’accéder à tous les sites Web HTTPS.
Enfin, un mot aux auteurs de logiciels qui envisageraient de faire de l’interception SSL : Si vous voulez ajouter des fonctionnalités sur le Web, n’interceptez pas, mais faites une extension. Tous les principaux navigateurs offrent des frameworks (voir ces liens pour Firefox, Chrome, IE, Safari et Opera). L’utilisation de ces outils vous aide à éviter de violer la sécurité des utilisateurs, tout en vous donnant des outils puissants et faciles à utiliser. Le Web fonctionne mieux quand nous le construisons ensemble.