Ldfa Posté(e) le 24 février 2015 Posté(e) le 24 février 2015 SuperFish commence à faire beaucoup parler de lui actuellement et les dégâts collatéraux sont, semble t'il, plus important que prévu. Voici le préambule de l'article de zdnet.fr qui fait un bon résumé de la situation : Si la semaine dernière, les possesseurs d’ordinateurs Lenovo ont été les premiers touchés par le scandale Superfish, il semble que la technologie utilisée pour l’interception des flux chiffrés soit présente dans de nombreux autres logiciels. Pourquoi je vous parle de cette actualité dans la section Bugs connus et reconnus de Maxthon Cloud, c'est qu'en utilisant ce lien qui permet de tester la présence de SuperFish ou de ses Malware associés, on s'apperçoit que Maxthon ne test pas du tout ou pas correctement les certificats des sites visités en HTTPS (utilisant le protocole SSL). J'ai tester ce lien avec tous les navigateurs présents sur mon PC : Maxthon 1, Maxthon 2, Opera, Google Chrome, Spark, Yandex, Maxthon Nitro, Viivaldi, Tor Browser, TheWorld Chrome, SlimJet, QupZilla, Pirate Browser. Seul Maxthon 3 et Maxthon Cloud pour Windows semblent ne pas réagir correctement et seraient faillibles. Je ne connais et ne mesure pas les conséquences exactes de tout ça, mais je suis certains que c'est un très grave problème de sécurité et qu'il est actuellement très dangereux d'utiliser Maxthon 3 ou Maxthon Cloud, surtout si des sites se mettent à exploiter cette faille de sécurité. Après de nombreux messages sur le forum anglais de Maxthon, on a enfin au hier une réponse officielle de Maxthon International qui indique être sur le coup : Salut les gars, nous sommes au courant de cela et en ce moment notre équipe s'y intéresse et recherche une solution. Nous vous ferons connaître les résultats dès que possible. Maxthon a intérêt à réagir rapidement et efficacement cette fois-ci. En attendant, je ne saurais vous inviter à utiliser un autre navigateur lorsque vous surfez sur des sites HTTPS.
Dixours Posté(e) le 24 février 2015 Posté(e) le 24 février 2015 Merci pour ce résumé très clair Ldfa !
franz Posté(e) le 24 février 2015 Posté(e) le 24 février 2015 Pfffff, purée c'est chaud cela. Ils s'en aperçoivent que MAINTENANT ????
Ldfa Posté(e) le 24 février 2015 Auteur Posté(e) le 24 février 2015 Pfffff, purée c'est chaud cela. Ils s'en aperçoivent que MAINTENANT ???? Tu as raison, je trouve ça plutôt très moyen de la part de Maxthon.
franz Posté(e) le 24 février 2015 Posté(e) le 24 février 2015 Oui le Boss,moins que très moyen. Ils ont tout de même des pro en informatique qui bossent pour eux. je n'utilise que Maxthon depuis des années. Tu crois que cela passerait l'antivirus, et le clavier virtuel ?? Je suis entrain de voir avec cette page, et j'en essaie quelques un. http://fr.uptodown.com/web-browsers#1 Bonne soirée.
Ldfa Posté(e) le 24 février 2015 Auteur Posté(e) le 24 février 2015 Il vaut mieux utiliser un autre navigateur pour consulter son compte en banque en attendant que Maxthon nous corrige ce gros bug.
Oliver Posté(e) le 24 février 2015 Posté(e) le 24 février 2015 Il ne faut pas tomber non plus dans la paranoïa ! Attendons de voir si ça n'est pas une fausse alerte concernant Maxthon. Pour votre banque je ne sais pas, mais pour la mienne on ne peut rien faire en dehors de consulter le compte avec uniquement les identifiants.
franz Posté(e) le 24 février 2015 Posté(e) le 24 février 2015 Il ne faut pas tomber non plus dans la paranoïa ! Attendons de voir si ça n'est pas une fausse alerte concernant Maxthon. Pour votre banque je ne sais pas, mais pour la mienne on ne peut rien faire en dehors de consulter le compte avec uniquement les identifiants. Oui effectivement, chez moi c'est pareil. Identifiant obligatoire. On va attendre alors. Bonne soirée tous et merci encore, pour ces remontées d'infos..
Ldfa Posté(e) le 24 février 2015 Auteur Posté(e) le 24 février 2015 Je pense que le problème est plus compliqué que ça. Comme Maxthon semble ne pas gérer correctement la vérification des certificats, il pourrait très bien indiquer que le certificat est valide alors qu'il ne l'est pas, et ainsi tout ce qui est normalement chiffré lors de la connexion SSL pourrait très bien être lu sans difficulté par un pirate en utilisant la technique Man in the middle. J'aurais du mal à t'en dire plus sur le sujet parce que je ne suis pas un spécialiste dans ce domaine, mais je pense qu'il faut rester très prudent. Un article de plus concernant la suite de SuperFish et les logiciels faillibles comme Maxthon : http://www.01net.com/editorial/646602/privdog-et-lavasoft-ces-logiciels-de-securite-qui-creent-des-failles-de-securite/#?xtor=RSS-16
ricouz Posté(e) le 25 février 2015 Posté(e) le 25 février 2015 Oui Ldfa, c'est bien la technique que tu cites, mais il faut effectivement ne pas paniquer, lorsque l'on se connecte à sa banque, normalement on ne tape pas le mot de passe, c'est un clavier virtuel qui est affiché, donc c'est une position par rapport au clavier qui est transmise et comme le clavier change à chaque tentative, la position n'est valable qu'une seule fois. Par contre pour toutes les connexions où l'on saisit le mot de passe, là il y a danger. Le problème est lié aux potentiels certificats racine installés sur le machine par certains logiciels douteux, déjà première action à effectuer, c'est vérifier que l'on n'a pas de certificat de la société komodia même si cela n'est pas suffisant. (le lien donné sur la page de zdnet le fait tout seul d'ailleurs). Il faut également vérifier dans la liste donnée sur le lien du cert http://www.kb.cert.org/vuls/id/529496 A+
Oliver Posté(e) le 25 février 2015 Posté(e) le 25 février 2015 Un truc que je n'avais pas essayé avant, sur le lien https://filippo.io/Badfish/ en passant en mode Rétro j'ai eu un bref instant le message Good puis c'est redevenu Yes comme en Ultra !
ricouz Posté(e) le 25 février 2015 Posté(e) le 25 février 2015 Moi j'avais essayé en mode rétro et j'ai directement eu le bad.
Oliver Posté(e) le 25 février 2015 Posté(e) le 25 février 2015 Je viens de refaire un test (sous VirtualBox ce qui permet de ralentir le processus) et j'ai eu le même phénomène en Ultra aussi. En faisant une pause de la machine j'ai pu faire une capture ! Je précise également que ça ne le fait que la première fois, après c'est direct Bad.
Dixours Posté(e) le 25 février 2015 Posté(e) le 25 février 2015 Le mode Retro de Maxthon est à prendre comme du bricolage de toute façon. J'essaie de retrouver des exemples concrêts mais rien ne me vient. Récemment en tout cas je me suis fait cette reflexion mais impossible de me rappeler la situation...
Oliver Posté(e) le 25 février 2015 Posté(e) le 25 février 2015 On est d'accord, j'ai déjà rencontré des cas ou le mode Rétro reste inopérant alors que c'est bien entendu nickel directement avec IE.
ricouz Posté(e) le 25 février 2015 Posté(e) le 25 février 2015 Pour le mode bricolage c'est très possible, comme maxthon utilise une dll d'ie il est très possible que toutes les fonctions ne soient pas implémentées ou mal implémentées, je pense que microsoft n'a surement pas documenté les fonctions de la dll. Concernant le test j'avoue que je n'ai que basculé en mode rétro suivi d'une actualisation de la page..... A+
Ldfa Posté(e) le 27 février 2015 Auteur Posté(e) le 27 février 2015 La faille engendrée par Superfish serait exploitée par certains pirates sur Internet si on en croit l'article de 01net.com.
Oliver Posté(e) le 27 février 2015 Posté(e) le 27 février 2015 C'est pour ça que l'on ne voit plus personne, tout le monde est terré et n'ose plus sortir sur le web !
Ldfa Posté(e) le 27 février 2015 Auteur Posté(e) le 27 février 2015 On a enfin la réponse officielle de Maxthon International sur leur blog : http://www.maxthon.com/blog/update-superfish-and-maxthon/ En résumé, le résultat du test Superfish pour Maxthon est un faux positif, mais il y aura tout de même un correctif dans la prochaine version. On peut donc continuer à utiliser Maxthon Cloud sur nos 2 oreilles.
Oliver Posté(e) le 28 février 2015 Posté(e) le 28 février 2015 L'oiseau n'a pas d'oreilles, donc il ne craignait rien !
Dixours Posté(e) le 28 février 2015 Posté(e) le 28 février 2015 Un faux positif ?... Bon... Est-ce qu'on a le droit de douter ou pas ?
Oliver Posté(e) le 13 mars 2015 Posté(e) le 13 mars 2015 Au fait le poisson n'est pas tout à fait mort, en mode Retro le problème subsiste.
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.