Le scandale provoqué par le pourriciel Superfish, que Lenovo a eu la bonne idée d’intégrer sur certains de ses ordinateurs, n’est que la partie visible d’un empire bien plus vaste, tissé par un acteur inconnu du grand public : Komodia. Cette société israélienne a fourni à l’éditeur californien Superfish la technologie nécessaire permettant d’intercepter les flux chiffrés en SSL et d’y insérer des publicités non sollicitées. Pour faire cela, Komodia s’appuie sur un certificat racine auto-signé qui lui permet d’usurper l’identité de n’importe quel site accessible en connexion HTTPS. C’est un peu le même principe qu’avec les fameux « proxy SSL » qui permettent aux employeurs de surveiller les échanges web de leurs salariés.
Epinglé par l’affaire Lenovo, Komodia a été pris en chasse par les chercheurs en sécurité, qui estiment que cette société fait peser un risque important sur les internautes, et pas seulement sur les utilisateurs d’ordinateurs Lenovo. La technologie d’interception SSL de Komodia se retrouve dans beaucoup d’autres logiciels. Le chercheur Marc Rodgers a identifié des filtres parentaux tels que Kuripira ou Qustodio, des outils de surveillance réseaux comme StaffCop, des logiciels d’anonymisation comme Easy Hide IP, des scanners antivirus comme Lavasoft Ad-Aware Web Companion.
Un éditeur qui nage en eaux troubles
De son côté, le chercheur Matt Richard de Facebook a mis la main sur une ribambelle de publiciels/pourriciels tels que CartCrunch, WiredTools, Say Media Group, Over The Rainbow Tech, System Alerts, ArcadeGiant, Objectify Media, Catalytix Web Services, OptimizerStudio, etc. Il a même retrouvé des certificats Komodia dans un logiciel officiellement catalogué comme un cheval de Troie par Symantec. Au total, des dizaines de milliers d’utilisateurs, sinon plus, sont concernés. « Rien qu’en se basant sur cette liste de logiciels, on observe un millier de systèmes touchés en permanence sur le web », souligne Matt Richards.
Bref, il semblerait que cet éditeur israélien nage en eaux troubles et fait feu de tout bois pour diffuser au maximum sa technologie d’interception. Le grand problème, c’est que celle-ci est de piètre qualité. Souvent, c’est le même certificat qui est utilisé, protégé par le même mot de passe : « komodia ». Celui qui met la main sur ce certificat peut espionner à distance les flux des utilisateurs concernés. Quelques dizaines de dollars suffisent pour mettre au point un tel aspirateur de flux SSL, basé sur une carte Raspberry Pi, comme vient de le montrer le hacker Robert Graham sur son blog.
Un PDG qui veut « protéger les enfants »
Sur son site web – actuellement hors ligne mais accessible sur Internet Archive – Komodia se donne une image assez professionnelle, avec à la clé de belles présentations de produits. Le PDG Barak Weichselbaum se voit presque en bienfaiteur de l’humanité. « Ma plus grande vision est de créer un monde où les enfants peuvent surfer sur Internet en toute sécurité, et je fais en sorte que cette vision se réalise », peut-on lire sur son profil LinkedIn. Objectif visiblement loupé, copie à revoir.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.