Etes-vous menacé par “Superfish”? Vérifiez maintenant.

LastPass Now Checks If You're Affected by the Superfish Vulnerability

La nouvelle est tombée mercredi, 18 février que les dispositifs Lenovo avaient livré avec adware qui peuvent compromettre les connexions sécurisées à des sites Web et de laisser des informations sensibles des consommateurs exposés.

Utilisez notre outil maintenant: www.LastPass.com/superfish pour vérifier si vous avez été affecté par cette vulnérabilité “Superfish”.

Qu’est-ce que Superfish?

Un logiciel connu sous le nom Superfish a été pré-installé sur les produits Lenovo au cours des deux dernières années. Le logiciel Superfish affiche des annonces publicitaires comme résultat de vos recherche Google et sur les sites internet pour “Aider les utilisateurs à trouver et découvrir des produits visuellement”.

Cependant, il a été découvert que le logiciel Superfish installait ses propres certificats racine pour que le logiciel Superfish apparaisse toujours comme un tiers de confiance. Le logiciel Superfish aurait donc la capacité d’intercepter des communications prétendument sécurisés vers des sites Web via des attaques de type “man-in-the-middle”. Les chercheurs ont également confirmé que les pirates sur le même réseau, comme un hotspot WiFi ouvert à un café, peuvent exploiter Superfish pour voler des informations comme vos identifiants de connection bancaires ou pour lire vos e-mails.

Comment cela affecte-t’il LastPass?

LastPass utilise le protocole SSL comme une couche supplémentaire de protection, en complément des autres couches de sécurité établies par l’encryption. Si vous vous êtes connecté via l’extension LastPass, il n’y a pas de risque aditionnel d’une attaque locale type “man-in-the-middle”. Si vous vous êtes connecté en ligne via notre site LastPass.com site Web, le risque est légèrement supérieur, mais nous n’ avons aucune raison de croire que les utilisateurs de LastPass sont à risque. Nous n’avons aucune indication démontrant que cette vulnérabilité a été ciblée sur les utilisateurs de LastPass, et l’objectif initial de ce logiciel malveillant était de servir les publicités.

Agissez dès maintenant pour vous protéger de “Superfish”.

La bonne nouvelle est que Lenovo a cessé de pré-installé Superfish depuis Janvier 2015. La mauvaise nouvelle est que des millions d’ordinateurs portables Lenovo ont été livrés avec Superfish pré-installé (nous n’ avons pas une liste détaillée des appareils concernés à cette heure). Superfish semble impacté Internet Explorer et Chrome sur les ordinateurs Lenovo.

Notre contrôleur Superfish: https://lastpass.com/superfish/ vérifiera si Superfish s’exécute sur votre machine et vous dira si votre système est à risque ou non.

Si vous êtes affecté par Superfish, vous devez en tout premier lieu supprimer le programme Superfish :

  • Cliquez sur le bouton Démarrer de Windows
  • Rechercher la désinstallation de programme
  • Lancer la désinstallation du programme
  • Faites un clic droit sur “Superfish Inc VisualDiscovery” et sélectionnez Désinstaller
  • S’il vous est demandé un mot de passe administrateur, saisissez le ou confirmez

Ensuite, vous devez désinstaller également les certificats Superfish :

  • Cliquez sur le bouton Démarrer de Windows
  • Tapez certmgr.msc dans la boîte de recherche
  • Cliquez sur le Programme certmgr.msc pour le lancer
  • S’il vous est demandé un mot de passe administrateur, saisissez le ou confirmez
  • Cliquez sur Autorités de certification racine de confiance
  • Ouvrez les certificats
  • Cherchez les certificats mentionnant Superfish Inc
  • Faites un clic droit sur les certificats Superfish Inc et supprimer
  • Redémarrez votre navigateur

Une fois que votre système est nettoyé:

  • Télécharger LastPass pour commencer à gérer vos mots de passe: www.LastPass.com
  • Faites le Challenge de sécurité (Dans le menu Outils de votre extension de navigateur LastPass).
  • Utilisez la fonction de changement automatique de mots de passe pour mettre à jour instantanément et automatiquements les mots de passe faibles ou utilisés en doublon.
  • Mettez à jour vos autres mots de passe faibles et ceux que vous utilisez sur plusieurs comptes avec le générateur de mots de passe LastPass.
  • Mettez à jour les mots de passe pour les sites Web critiques comme votre messagerie électronique, votre compte bancaire, et les réseaux sociaux.

Nous continuons également à mettre à jour notre outil de Challenge de sécurité LastPass afin de vous fournir les dernières informations concernant les vulnérabilités et vos comptes Web qui sont à risque. Nous allons continuer à surveiller la situation et tenir au courant notre communauté.