Aller au contenu

SuperFish et pourtant on est pas le 1er avril


Ldfa

Messages recommandés

SuperFish commence à faire beaucoup parler de lui actuellement et les dégâts collatéraux sont, semble t'il, plus important que prévu.
 
Voici le préambule de l'article de zdnet.fr qui fait un bon résumé de la situation :


Si la semaine dernière, les possesseurs d’ordinateurs Lenovo ont été les premiers touchés par le scandale Superfish, il semble que la technologie utilisée pour l’interception des flux chiffrés soit présente dans de nombreux autres logiciels.

 
Pourquoi je vous parle de cette actualité dans la section Bugs connus et reconnus de Maxthon Cloud, c'est qu'en utilisant ce lien qui permet de tester la présence de SuperFish ou de ses Malware associés, on s'apperçoit que Maxthon ne test pas du tout ou pas correctement les certificats des sites visités en HTTPS (utilisant le protocole SSL).
 
SuperFish.png

 

SuperFish1.png
 
J'ai tester ce lien avec tous les navigateurs présents sur mon PC : Maxthon 1, Maxthon 2, Opera, Google Chrome, Spark, Yandex, Maxthon Nitro, Viivaldi, Tor Browser, TheWorld Chrome, SlimJet, QupZilla, Pirate Browser. Seul Maxthon 3 et Maxthon Cloud pour Windows semblent ne pas réagir correctement et seraient faillibles.

 

Je ne connais et ne mesure pas les conséquences exactes de tout ça, mais je suis certains que c'est un très grave problème de sécurité et qu'il est actuellement très dangereux d'utiliser Maxthon 3 ou Maxthon Cloud, surtout si des sites se mettent à exploiter cette faille de sécurité.

 

Après de nombreux messages sur le forum anglais de Maxthon, on a enfin au hier une réponse officielle de Maxthon International qui indique être sur le coup :

 

Salut les gars, nous sommes au courant de cela et en ce moment notre équipe s'y intéresse et recherche une solution. Nous vous ferons connaître les résultats dès que possible.

 

Maxthon a intérêt à réagir rapidement et efficacement cette fois-ci. En attendant, je ne saurais vous inviter à utiliser un autre navigateur lorsque vous surfez sur des sites HTTPS.

Lien vers le commentaire
Partager sur d’autres sites

Oui le Boss,moins que très moyen.

Ils ont tout de même des pro en informatique qui bossent pour eux.

 

je n'utilise que Maxthon depuis des années.

Tu crois que cela passerait l'antivirus, et le clavier virtuel ??

 

Je suis entrain de voir avec cette page, et j'en essaie quelques un.

http://fr.uptodown.com/web-browsers#1

 

Bonne soirée.

Lien vers le commentaire
Partager sur d’autres sites

Il ne faut pas tomber non plus dans la paranoïa ! Attendons de voir si ça n'est pas une fausse alerte concernant Maxthon. Pour votre banque je ne sais pas, mais pour la mienne on ne peut rien faire en dehors de consulter le compte avec uniquement les identifiants.

Lien vers le commentaire
Partager sur d’autres sites

Il ne faut pas tomber non plus dans la paranoïa ! Attendons de voir si ça n'est pas une fausse alerte concernant Maxthon. Pour votre banque je ne sais pas, mais pour la mienne on ne peut rien faire en dehors de consulter le compte avec uniquement les identifiants.

 

Oui effectivement, chez moi c'est pareil. 

Identifiant obligatoire.

On va attendre alors.

Bonne soirée tous et merci encore, pour ces remontées d'infos..

Lien vers le commentaire
Partager sur d’autres sites

Je pense que le problème est plus compliqué que ça. Comme Maxthon semble ne pas gérer correctement la vérification des certificats, il pourrait très bien indiquer que le certificat est valide alors qu'il ne l'est pas, et ainsi tout ce qui est normalement chiffré lors de la connexion SSL pourrait très bien être lu sans difficulté par un pirate en utilisant la technique Man in the middle. J'aurais du mal à t'en dire plus sur le sujet parce que je ne suis pas un spécialiste dans ce domaine, mais je pense qu'il faut rester très prudent.;)

 

Un article de plus concernant la suite de SuperFish et les logiciels faillibles comme Maxthon : http://www.01net.com/editorial/646602/privdog-et-lavasoft-ces-logiciels-de-securite-qui-creent-des-failles-de-securite/#?xtor=RSS-16

Lien vers le commentaire
Partager sur d’autres sites

Oui Ldfa, c'est bien la technique que tu cites, mais il faut effectivement ne pas paniquer, lorsque l'on se connecte à sa banque, normalement on ne tape pas le mot de passe, c'est un clavier virtuel qui est affiché, donc c'est une position par rapport au clavier qui est transmise et comme le clavier change à chaque tentative, la position n'est valable qu'une seule fois.

Par contre pour toutes les connexions où l'on saisit le mot de passe, là il y a danger.

 

Le problème est lié aux potentiels certificats racine installés sur le machine par certains logiciels douteux, déjà première action à effectuer, c'est vérifier que l'on n'a pas de certificat de la société komodia même si cela n'est pas suffisant. (le lien donné sur la page de zdnet le fait tout seul d'ailleurs).

Il faut également vérifier dans la liste donnée sur le lien du cert http://www.kb.cert.org/vuls/id/529496

 

A+

Lien vers le commentaire
Partager sur d’autres sites

Je viens de refaire un test (sous VirtualBox ce qui permet de ralentir le processus) et j'ai eu le même phénomène en Ultra aussi. En faisant une pause de la machine j'ai pu faire une capture ! Je précise également que ça ne le fait que la première fois, après c'est direct Bad.

 

superfish 1.jpg

Lien vers le commentaire
Partager sur d’autres sites

Pour le mode bricolage c'est très possible, comme maxthon utilise une dll d'ie il est très possible que toutes les fonctions ne soient pas implémentées ou mal implémentées, je pense que microsoft n'a surement pas documenté les fonctions de la dll.

 

Concernant le test j'avoue que je n'ai que basculé en mode rétro suivi d'une actualisation de la page.....

 

A+

Lien vers le commentaire
Partager sur d’autres sites

On a enfin la réponse officielle de Maxthon International sur leur blog : http://www.maxthon.com/blog/update-superfish-and-maxthon/

 

En résumé, le résultat du test Superfish pour Maxthon est un faux positif, mais il y aura tout de même un correctif dans la prochaine version. On peut donc continuer à utiliser Maxthon Cloud sur nos 2 oreilles. :s:

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.