Vous n’avez surement jamais entendu parlé de Komodia. Il s’agit de la technologie israélienne utilisée par le malware Superfish au cœur du scandale Lenovo, présente aussi dans d’autres produits, du logiciel de contrôle parental au cheval de Troie, en passant par des injecteurs de pubs et des logiciels espions. Un véritable empire.
Le
scandale provoqué par le mouchard Superfish, que Lenovo a implanté à l’insu des consommateurs dans ses machines, n’est en fait que la partie visible d’un empire bien plus vaste, tissé par un acteur inconnu du grand public : Komodia. Cette société israélienne a fourni à l’éditeur californien Superfish la technologie nécessaire permettant d’intercepter les flux chiffrés en SSL et d’y insérer des publicités non sollicitées. Pour faire cela, Komodia s’appuie sur un certificat racine auto-signé qui lui permet d’usurper l’identité de n’importe quel site accessible en connexion HTTPS. C’est un peu le même principe qu’avec les fameux « proxy SSL » qui permettent aux employeurs de surveiller les échanges web de leurs salariés.
Épinglé par l’affaire Lenovo, Komodia a été pris en chasse par les chercheurs en sécurité, qui estiment que cette société fait peser un risque important sur les internautes, et pas seulement sur les utilisateurs d’ordinateurs Lenovo. La technologie d’interception SSL de Komodia se retrouve dans beaucoup d’autres logiciels. Le chercheur Marc Rodgers
a identifié des filtres parentaux tels que Kuripira ou Qustodio, des outils de surveillance réseaux comme StaffCop, des logiciels d’anonymisation comme Easy Hide IP, des scanners antivirus comme Lavasoft Ad-Aware Web Companion.
Un éditeur borderline
De son côté, le chercheur
Matt Richard de Facebook a mis la main sur une ribambelle de publiciels/pourriciels tels que CartCrunch, WiredTools, Say Media Group, Over The Rainbow Tech, System Alerts, ArcadeGiant, Objectify Media, Catalytix Web Services, OptimizerStudio, etc. Il a même retrouvé des certificats Komodia dans un logiciel officiellement catalogué comme un cheval de Troie par Symantec. Au total, des dizaines de milliers d’utilisateurs, sinon plus, sont concernés.
« Rien qu’en se basant sur cette liste de logiciels, on observe un millier de systèmes touchés en permanence sur le web », souligne Matt Richards.
Bref, il semblerait que cet éditeur israélien nage en eaux troubles et fait feu de tout bois pour diffuser au maximum sa technologie d’interception. Le grand problème, c’est que celle-ci est de piètre qualité. Souvent, c’est le même certificat qui est utilisé, protégé par le même mot de passe : « komodia ». Celui qui met la main sur ce certificat peut espionner à distance les flux des utilisateurs concernés. Quelques dizaines de dollars suffisent pour mettre au point un tel aspirateur de flux SSL, basé sur une carte Raspberry Pi, comme vient de le montrer le hacker
Robert Graham sur son blog.
Le site officiel de Komodia est aujourd’hui hors ligne, mais la copie est toujours accessible via Internet Archive. Une fausse image professionnelle est donnée par Barak Weichselbaum, le PDG de Komodia :
« Ma plus grande vision est de créer un monde où les enfants peuvent surfer sur Internet en toute sécurité, et je fais en sorte que cette vision se réalise », peut-on lire sur son profil LinkedIn. Qui a dit foutage de gueule ?
Mais d’après les récentes études, il s’agit juste d’espionnage massif camouflé à travers des pseudo-solutions professionnelles, qui mettent toutes en péril la vie privée des utilisateurs dans le monde entier. A boycoter de toute urgence….
Le site officiel semble sous le feu d’attaques DDoS d’après le message visible sur une page blanche :
Site is offline due to DDOS with the recent media attention.
Some people say it’s not DDOS but a high volume of visitors, at the logs it showed thousand of connections from repeating IPs.
Quoi qu’il en soit, passez sur filippo.io/Badfish afin de vérifier que votre machine n’est pas contaminée par le certificat vérolé Komodia.
Source : 01Net
Bonsoir,
Je viens de voir que le lien de virus total a un souci. Le md5 du malware est eae697652984cf6b2206213703a32187
Une recherche avec virustotal via ce hash fournira des infos complémentaires sur le bon lien.
désolé je me suis mélangé les pinceaux.
Mais c’est un malware qui installe aussi un certificat root, et qui a des similitudes avec komodia, et que symantec appelle Trojan.Nurjax, comme d’ailleurs vous le mentionnez sur le lien menant au site facebook de Matt Richard.
Je suis vraiment désolé, et je m’excuse de vous avoir induit en erreur, moi même m’entant emmêlé les pinceaux
Bonjour,
Je vous comprend, y en a tellement en ce moment … !!
Quand on voit l’analyse d’un de leur malware,
https://www.virustotal.com/en/file/3c0c73ef2f939e9480f2dfc22f7061f719b6e
l’analyse via virustotal montre qu’il y a des envois de paquets UDP sur le site suivant:
hxxp://134.170.185.211/
C’est un site de phishing, vraiment mal conçu pour se faire passer pour Microsoft.
Une analyse de ce site par ce site par exemple montre:
https://www.virustotal.com/en/ip-address/134.170.185.211/information/
ci-dessous, le WHOIS
http://whois.domaintools.com/134.170.185.211
Intéressant, merci pour ces infos !
Les commentaires sont fermés.