Plus besoin de traîner sur des sites peu fréquentables pour récupérer de drôles de programmes, baptisés adwares ou publiciels, destinés à rajouter de la pub lors de votre navigation. Le fabricant chinois d'ordinateurs Lenovo a discrètement introduit un de ces logiciels dans ses PC vendus entre septembre et janvier. La découverte, rendue publique jeudi par le chercheur en sécurité informatique Peter Horne, a poussé l'industriel à se justifier, expliquant l'avoir retiré «dès janvier» et précisant comment le supprimer.
Protocole. Que fait ce programme, SuperFish, créé par l'entreprise israélienne Komodia située en Californie ? Il expose d'abord à de la publicité sans avoir rien demandé. Lors d'une requête sur un moteur de recherche, les utilisateurs d'un ordinateur Lenovo équipé de SuperFish auront davantage de pubs dans leurs résultats. Désagréable, mais pas dramatique. Lenovo s'est d'ailleurs défendu, jeudi dans un communiqué, affirmant avoir voulu «améliorer l'expérience de shopping».
Sauf qu'il y a beaucoup plus grave. En ajoutant ces résultats sponsorisés, SuperFish porte atteinte à un système de sécurité central sur Internet : l'authentification des sites web. «Pour communiquer entre deux points de façon sécurisée, il existe un protocole : le https», explique Benjamin Sonntag, directeur technique de l'hébergeur Octopuce (et membre de la Quadrature du Net, association de défense des libertés numériques). Ce protocole est par exemple utilisé pour les paiements en ligne, afin d'éviter que les données bancaires ne se promènent dans la nature, qu'elles aillent directement de l'ordinateur au site de vente sans être visibles par un tiers. «Il permet aussi de vérifier que le site n'a pas été modifié», ajoute Stéphane Bortzmeyer, ingénieur réseaux.
Autre fonction cruciale, le https vérifie la «carte d'identité» du site. «Des entreprises, appelées autorités de certification, produisent des certificats une fois prouvée l'identité du propriétaire du site», poursuit Benjamin Sonntag. Exemple : le patron de Monsite.com contacte l'une de ces entreprises, atteste qu'il est le propriétaire légitime du site, et achète une «carte d'identité» reconnue. Les visiteurs pourront vérifier dans leur navigateur qu'ils sont bien sur Monsite.com, signé par une autorité reconnue, et qu'il s'affiche tel que le propriétaire l'a voulu. Pour avoir de la pub supplémentaire sur un site, donc en modifier le contenu, SuperFish se place au milieu de cette connexion, entre l'utilisateur et le site. Il procède à ce que les informaticiens appellent une attaque de l'homme du milieu (ou man-in-the-middle).
«Irresponsabilité». Pour ne rien arranger, «tout le monde peut générer un certificat SuperFish», déplore Stéphane Bortzmeyer. Autrement dit : d'autres que SuperFish peuvent duper les utilisateurs. La technique avait été utilisée en Iran en 2011. Un faux certificat pour Google permettait d'intercepter les données transitant, notamment les mots de passe…
Stéphane Bortzmeyer n'en revient pas d'un «tel niveau d'irresponsabilité, qui confine à la mise en danger d'autrui» de la part de Lenovo et des créateurs de SuperFish. Le département américain à la Sécurité intérieur a d'ailleurs réagi dès vendredi, appelant Lenovo à «retirer» SuperFish des ordinateurs car ils exposent les utilisateurs à des «cyberattaques». Depuis, d'autres services présentant des failles similaires ont été identifiés, notamment PrivDog, un logiciel censé protéger… la vie privée.