C’est un peu l’histoire de l’arroseur arrosé. Suite au scandale Lenovo – qui a eu la brillante idée d’intégrer Superfish, un dangereux adware, dans certains de ses PC – les chercheurs en sécurité ont commencé à faire la chasse aux mauvais certificats racine de la société Komodia, qui fournit une technologie d’interception SSL à plein d’éditeurs tiers. Outre une série de logicielles poubelle, ils ont trouvé deux produits créés par des éditeurs qui ont pignon sur rue et se targuent de proposer des solutions de… sécurité. Il s’agit de Lavasoft et d’Adtrustmedia.
Le premier propose un module baptisé « Lavasoft Ad-Aware Web Companion » qui utilise la technologie d’interception SSL de Komodia pour scanner les pages web chiffrées et, le cas échéant, bloquer les contenus malicieux. Mais en s’appuyant sur Komodia, l’éditeur a transformé son outil de sécurité en énorme faille de sécurité. Comme l’a montré le chercheur Filippo Valdorda de CloudFlare, Komodia permet, grâce à un tour de passe-passe, de court-circuiter l’étape de validation des certificats SSL/TLS. Dès lors, il n’est plus vraiment possible de vérifier si l’identité d’un site web est intègre. On est à la merci d’attaques de type « Man in the middle ».
Ouvert à tout vent
Le cas d’Adtrustmedia est similaire, voire pire. Emanation du groupe Comodo, cet éditeur propose PrivDog, une solution censée protéger l’utilisateur des malwares présents dans les pages web. Pour cela, il intègre également une technologie d’interception SSL. Elle ne vient pas de Komodia, mais elle est tout aussi mauvaise, car elle élimine carrément toute validation de certification SSL. Plus besoin de faire un tour de passe-passe pour tromper le navigateur : tous les certificats sont remplacés par ceux de PrivDog et automatiquement acceptés par le navigateur. Ce qui crée un boulevard pour les attaques « Man in the middle ». Le logiciel de sécurité PrivDog détruit en quelque sorte tout le mécanisme de sécurité lié au protocole SSL/TLS. C’est pourquoi l’US-CERT s’est fendu d’une alerte en bonne et due forme. Pour un éditeur de sécurité, c’est un peu la honte.
Depuis, ces deux éditeurs ont fait leur mea culpa. Lavasoft a particulièrement vite réagi et poussé une mise à jour de son logiciel dès le 18 février. Et le 21 février, il a publié un communiqué sur Facebook, pour expliquer que tout ceci était regrettable et que la technologie Komodia a été supprimée du produit. Même (petit) lamento chez Adtrustmedia, qui confirme la vulnérabilité trouvée « dans une librairie tierce » et affirme avoir mis à jour son produit, tout en essayant de minimiser l’affaire (« seuls 57.568 utilisateurs sont concernés dans le monde… »).
La morale de l’histoire est qu’il ne faut pas faire confiance aux logiciels qui intègrent des proxies SSL/TLS, même si c’est pour des fonctions de sécurité. Filippo Valdorda exhorte d’ailleurs ces éditeurs de changer de stratégie. « Ne faites plus de proxies d’interception. Il est impossible de les concevoir correctement et, de par leur nature, ils abaissent le niveau de sécurité de tout l’Internet », écrit-il dans son blog. Espérons qu’il sera entendu.
Lire aussi :
Komodia, la pieuvre du pourriciel qui se cache derrière le scandale Lenovo, le 21/02/2015
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.