Le fiasco de Superfish a commencé lorsque les chercheurs ont remarqué que Superfish, fourni avec des ordinateurs Lenovo, installait un faux certificat racine dans Windows qui détournait essentiellement toute navigation HTTPS afin que les certificats aient toujours l'air valables, même s'ils ne l'étaient pas. manière peu sûre que tout pirate script kiddie puisse accomplir la même chose.
Ensuite, ils installent un proxy dans votre navigateur et forcent l’ensemble de votre navigation afin de pouvoir insérer des publicités. C’est vrai, même lorsque vous vous connectez à votre banque, à votre site d’assurance maladie ou à tout autre endroit qui devrait être sécurisé. Et vous ne le saurez jamais, car ils ont cassé le chiffrement Windows pour vous montrer des annonces.
Mais ce qui est triste, c’est qu’ils ne sont pas les seuls à le faire - des logiciels publicitaires tels que Wajam, Geniusbox, Content Explorer et d'autres font exactement la même chose, en installant leurs propres certificats et en obligeant toute votre navigation (y compris les sessions de navigation cryptées HTTPS) à passer par leur serveur proxy. Et vous pouvez être infecté par ce non-sens en installant simplement deux des 10 applications les plus téléchargées sur Téléchargements CNET.
En bout de ligne, vous ne pouvez plus faire confiance à cette icône de verrou vert dans la barre d’adresse de votre navigateur. Et c’est effrayant, effrayant.
Comment l’adware HTTPS-piratage fonctionne et pourquoi c’est si mauvais
Comme nous l’avons déjà montré, si vous commettez l’immense erreur gigantesque de faire confiance à CNET Downloads, vous pourriez déjà être infecté par ce type de logiciel publicitaire. Deux des dix téléchargements les plus populaires sur CNET (KMPlayer et YTD) regroupent deux types différents d’adware de piratage HTTPS.et dans nos recherches, nous avons constaté que la plupart des autres sites de logiciels gratuits font la même chose.
Remarque:les installateurs sont si délicats et compliqués que nous ne savons pas vraiment qui est techniquement «grouper», mais CNET fait la promotion de ces applications sur sa page d’accueil, c’est donc une question de sémantique. Si vous recommandez que les gens téléchargent quelque chose de mauvais, vous êtes également responsable. Nous avons également constaté que nombre de ces sociétés de logiciel de publicité sont secrètement les mêmes personnes et utilisent des noms de société différents.
Sur la base des numéros de téléchargement figurant dans la liste des 10 meilleurs téléchargements de CNET Downloads, un million de personnes sont infectées chaque mois par des logiciels publicitaires qui détournent leurs sessions Web cryptées vers leur banque, leur courrier électronique ou tout ce qui devrait être sécurisé.
Si vous avez commis l’erreur d’installer KMPlayer et que vous parvenez à ignorer tous les autres logiciels crapware, cette fenêtre s’affiche. Et si vous cliquez accidentellement sur Accepter (ou appuyez sur la mauvaise touche), votre système sera attaqué.
Lorsque vous vous rendez sur un site qui devrait être sécurisé, vous verrez l’icône de verrou vert et tout aura l’air parfaitement normal. Vous pouvez même cliquer sur le cadenas pour voir les détails et vous verrez que tout va bien. Vous utilisez une connexion sécurisée et même Google Chrome signalera que vous êtes connecté à Google via une connexion sécurisée. Mais vous ne le faites pas!
System Alerts LLC n'est pas un véritable certificat racine et vous passez par un proxy Man-in-the-Middle qui insère des publicités dans des pages (et qui sait quoi d'autre). Vous devriez simplement leur envoyer tous vos mots de passe, ce serait plus facile.
Pour ce faire, ils installent leurs faux certificats racine dans le magasin de certificats Windows, puis envoient des proxy aux connexions sécurisées tout en les signant avec leur faux certificat.
Si vous regardez dans le panneau Certificats de Windows, vous pouvez voir toutes sortes de certificats complètement valides… mais si votre PC est doté d'un type de logiciel publicitaire installé, vous verrez des choses fausses telles que Alertes système, LLC, ou Superfish, Wajam ou des dizaines d'autres faux.
Ce sont toutes des attaques de type "homme du milieu" et voici comment elles fonctionnent
Une fois que vous êtes piraté, ils peuvent lire tout ce que vous soumettez à un site privé - mots de passe, informations personnelles, informations médicales, e-mails, numéros de sécurité sociale, informations bancaires, etc. Et vous ne le saurez jamais parce que votre navigateur vous le dira. que votre connexion est sécurisée.
Cela fonctionne car le cryptage à clé publique nécessite à la fois une clé publique et une clé privée. Les clés publiques sont installées dans le magasin de certificats et la clé privée ne doit être connue que par le site Web que vous visitez. Mais lorsque des attaquants peuvent détourner votre certificat racine et conserver les clés publique et privée, ils peuvent faire tout ce qu'ils veulent.
Dans le cas de Superfish, ils ont utilisé la même clé privée sur chaque ordinateur sur lequel Superfish est installé et, en quelques heures, les chercheurs en sécurité ont pu extraire les clés privées et créer des sites Web permettant de tester votre vulnérabilité et de prouver que vous pouviez le faire. être détourné. Les clés sont différentes pour Wajam et Geniusbox, mais Content Explorer et certains autres logiciels de publicité utilisent également les mêmes clés partout, ce qui signifie que ce problème n'est pas propre à Superfish.
Il y a pire: la plupart de ces conneries désactivent complètement la validation HTTPS
Hier encore, des chercheurs en sécurité ont découvert un problème encore plus grave: tous ces proxys HTTPS désactivent toute validation en donnant l’impression que tout va bien.
Cela signifie que vous pouvez accéder à un site Web HTTPS dont le certificat est totalement invalide, et ce logiciel de publicité vous dira que le site est très bien. Nous avons testé les logiciels de publicité mentionnés précédemment et ils désactivent tous complètement la validation HTTPS. Par conséquent, peu importe si les clés privées sont uniques ou non. Étonnamment mauvais!
Vous pouvez vérifier si vous êtes vulnérable à la vérification de certificats Superfish, Komodia ou non valide à l'aide du site de test créé par les chercheurs en sécurité, mais comme nous l'avons déjà démontré, il existe beaucoup plus de logiciels publicitaires faisant la même chose, et d'après nos recherches., les choses vont continuer à empirer.
Protégez-vous: vérifiez le panneau des certificats et supprimez les mauvaises entrées
Si vous êtes inquiet, vous devriez vérifier votre magasin de certificats pour vous assurer qu’aucun certificat sommaire n’est installé et ne pourrait par la suite être activé par le serveur proxy de quelqu'un. Cela peut être un peu compliqué, car il y a beaucoup de choses là-dedans, et la plupart sont supposées être là. Nous n’avons pas non plus une bonne liste de ce qui devrait et ne devrait pas être là.
Utilisez WIN + R pour afficher la boîte de dialogue Exécuter, puis tapez «mmc» pour afficher une fenêtre de la console de gestion Microsoft. Ensuite, utilisez Fichier -> Ajouter / Supprimer des composants logiciels enfichables et sélectionnez Certificats dans la liste de gauche, puis ajoutez-le à droite. Assurez-vous de sélectionner Compte d'ordinateur dans la boîte de dialogue suivante, puis cliquez sur le reste.
- Sendori
- Purelead
- Rocket Tab
- Super poisson
- Lookthisup
- Pando
- Wajam
- WajaNEnhance
- DO_NOT_TRUSTFiddler_root (Fiddler est un outil de développement légitime, mais les logiciels malveillants ont détourné leur certificat.)
- Alertes système, LLC
- CE_UmbrellaCert
Cliquez avec le bouton droit et supprimez les entrées que vous avez trouvées. Si vous rencontrez un problème lorsque vous testez Google dans votre navigateur, veillez également à le supprimer. Faites attention, car si vous supprimez les mauvaises choses ici, vous allez casser Windows.
Nous espérons que Microsoft publiera quelque chose pour vérifier vos certificats racine et s’assurer que seuls les bons sont présents. Théoriquement, vous pouvez utiliser cette liste de Microsoft des certificats requis par Windows, puis effectuer une mise à jour vers les derniers certificats racine, mais cela n’a pas encore été testé, et nous ne le recommandons vraiment pas tant que personne n’aura pas testé cela.
Ensuite, vous devrez ouvrir votre navigateur Web et rechercher les certificats qui y sont probablement mis en cache. Pour Google Chrome, accédez à Paramètres, Paramètres avancés, puis Gérer les certificats. Sous Personnel, vous pouvez facilement cliquer sur le bouton Supprimer de tout mauvais certificat….
Mais c’est la folie.
Accédez au bas de la fenêtre Paramètres avancés et cliquez sur Réinitialiser les paramètres pour réinitialiser complètement Chrome aux paramètres par défaut. Faites la même chose pour tout autre navigateur que vous utilisez, ou désinstallez complètement, effacez tous les paramètres, puis réinstallez-le.
Si votre ordinateur a été affecté, il est probablement préférable de procéder à une installation totalement propre de Windows. Assurez-vous simplement de sauvegarder vos documents, vos photos et tout le reste.
Alors, comment vous protégez-vous?
Il est presque impossible de vous protéger complètement, mais voici quelques conseils de bon sens pour vous aider:
- Consultez le site d’essai de validation Superfish / Komodia / Certification.
- Activez Click-To-Play pour les plug-ins dans votre navigateur, ce qui vous aidera à vous protéger de toutes ces failles de sécurité Flash et autres plug-ins du jour au lendemain.
- Faites très attention à ce que vous téléchargez et essayez d’utiliser Ninite lorsque cela est absolument nécessaire.
- Faites attention à ce que vous cliquez chaque fois que vous cliquez.
- Pensez à utiliser le kit EMET (Enhanced Mitigation Experience Toolkit) de Microsoft ou Malwarebytes Anti-Exploit pour protéger votre navigateur et d’autres applications critiques des failles de sécurité et des attaques «zero-day».
- Assurez-vous que tous vos logiciels, plug-ins et antivirus restent à jour, y compris les mises à jour Windows.
Mais c’est beaucoup de travail que de vouloir naviguer sur le Web sans se faire détourner. C’est comme traiter avec la TSA.
L'écosystème Windows est une cavalcade de crapware. Et maintenant, la sécurité fondamentale d'Internet est brisée pour les utilisateurs Windows. Microsoft doit résoudre ce problème.
