#adware

C’est vrai quoi, qui aujourd’hui lit les « terms of service » (conditions d’utilisation) qui s’affichent à l’écran lorsqu’on lance pour la première fois une application ? Voir la longue citation en-dessous qui a été prise depuis le forum lenovo et qui est la réponse du service clientèle de Lenovo :

To be clear, Superfish comes with Lenovo consumer products only and is a technology that helps users find and discover products visually. The technology instantly analyzes images on the web and presents identical and similar product offers that may have lower prices, helping users search for images without knowing exactly what an item is called or how to describe it in a typical text-based search engine.

The Superfish Visual Discovery engine analyzes an image 100% algorithmically, providing similar and near identical images in real time without the need for text tags or human intervention. When a user is interested in a product, Superfish will search instantly among more than 70,000 stores to find similar items and compare prices so the user can make the best decision on product and price.

Superfish technology is purely based on contextual/image and not behavioral. It does not profile nor monitor user behavior. It does not record user information. It does not know who the user is. Users are not tracked nor re-targeted. Every session is independent. When using Superfish for the first time, the user is presented the Terms of User and Privacy Policy, and has option not to accept these terms, i.e., Superfish is then disabled.

#lenovo #malware #spyware #adware #terms_of_service #didn't_read

Et à propos des « terms of service » (tos) c’est généralement hors de portée du premier quidam venu ; il faut avoir fait au moins BAC+5 en droit, pour comprendre la signification du blabla. Pour comprendre cette idée du foutage de gueule des #tos, cf par exemple le projet :

►https://tosdr.org

cf. ►http://seenthis.net/messages/343659

effectivement, un bon billet à dire du côté de stephane. Cool pour la redirection.

Know more about QuickBooks Connection Diagnostic Tool - ▻https://opencloudmanifesto.org/quickbooks-connection-diagnostic-tool

Gérer ses certificats sous Windows (permet de voir et de supprimer le certificat de SuperFish) ▻http://windows.microsoft.com/fr-fr/windows-vista/view-or-manage-your-certificates

Autres bons articles : ▻http://www.slate.fr/story/98133/lenovo-superfish ▻http://www.nextinpact.com/news/93126-un-adware-livre-avec-machines-lenovo-pose-serieux-risque-securite. ▻http://arstechnica.com/security/2015/02/lenovo-pcs-ship-with-man-in-the-middle-adware-that-breaks-https-connect

Réponse officielle de Lenovo ▻http://news.lenovo.com/article_display.cfm?article_id=1929&cid=ww:social:147924660:147924659:T
Ils s’engagent à ne plus livrer le malware mais ils ne disent pas un mot de ce qui est le plus grave : la fausse Autorité de Certification et les attaques de l’Homme du Milieu

Et interview, tout aussi langue de bois corporate, d’un dirigeant de Lenovo ▻http://blogs.wsj.com/digits/2015/02/19/lenovo-cto-were-working-to-wipe-superfish-app-off-of-pcs

Finalement, Lenovo a enfin publié une alerte de sécurité (concernant son propre malware, c’est ironique) sur son site ▻http://support.lenovo.com/us/en/product_security/superfish

La clé privée du certificat de l’AC pirate a été trouvée. Un problème qui était très grave devient donc catastrophique :-( ▻http://blog.erratasec.com/2015/02/extracting-superfish-certificate.html

Si vous avez le malheur d’avoir un Lenovo (ou une autre machine utilisant le même malware), visitez ▻https://canibesuperphished.com Normalement, cela ne doit pas marcher (vous devez avoir une alerte de sécurité). Si ça passe, c’est qu’il y a un problème, parce que vous faites confiance à #SuperFish.

Autre test, en ▻https://filippo.io/Badfish où vous devez normalement voir l’image qui vous dit que vous êtes en sécurité.

Analyse technique : ▻http://blog.erratasec.com/2015/02/some-notes-on-superfish.html et, plus politique, par l’EFF ▻https://www.eff.org/deeplinks/2015/02/further-evidence-lenovo-breaking-https-security-its-laptops

Une publicité de la boîte qui a fourni à Lenovo son malware (et qui s’en vante) ▻http://www.komodia.com/products/komodias-ssl-decoderdigestor La boîte a été fondée par un ancien de l’armée israélienne. Un article sur cette boîte : ▻http://www.forbes.com/sites/thomasbrewster/2015/02/20/komodia-lenovo-superfish-ddos

Instructions pratiques sur la détection et le retrait du malware ▻http://www.pcworld.com/article/2886278/how-to-remove-the-dangerous-superfish-adware-presintalled-on-lenovo-pcs.htm ▻https://filippo.io/Badfish/removing.html ▻https://www.eff.org/deeplinks/2015/02/how-remove-superfish-adware-your-lenovo-computer

Un truc à vérifier d’après cet article

▻http://www.20minutes.fr/high-tech/1545291-20150219-superfish-pc-lenovo-vendus-dangereux-mouchard

Par mesure de sécurité, il est possible de le retirer à la main. Il faut :

- exécuter la commande (touche WINDOWS + R) « certmgr.msc » (sans les guillemets)
- cliquer sur le second dossier des « certifications root de confiance »
- cliquer sur le dossier « certificats »
- effacer l’entrée « Superfish ».

Dans la communication corporate de Lenovo, un grand nombre de mensonges ont été prononcés comme le fait que l’attaque Homme du Milieu serait purement théorique. Voici un HOWTO expliquant de manière très concrète comment la réaliser, avec juste un Raspberry Pi et trois heures de temps ▻http://blog.erratasec.com/2015/02/exploiting-superfish-certificate.html

Un autre logiciel (celui-ci est développé en Ukraine, pas en Israël) a des pratiques analogues ▻http://seenthis.net/messages/344951

Publicité ou sécurité, il faut choisir, une analyse ▻https://medium.com/opendns-dot-medium/the-superfish-truth-a-letter-about-internet-security-and-online-advertising-

mais enfin c’est un #adware ce truc Ben !

Faire une capture écran complète de site web directement depuis Firefox - Korben
▻http://korben.info/faire-une-capture-ecran-complete-de-site-web-directement-depuis-firefox.htm

http://korben.info/wp-content/uploads/2015/03/screen.jpg

Appuyez sur les touches : MAJ + F2 (ou sous OSX : MAJ + Fn + F2)

Et là, vous devriez voir apparaitre une petite console dans laquelle il faudra taper la commande suivante :

screenshot —fullpage capture.png

#merci @ben

J’allais justement le poster, excellent ! Jusqu’ici j’utilisais Pearl Crescent Page Saver Basic, mais je crois que je vais pouvoir m’en passer maintenant :)

Ah oui, merci ! j’utilisais screenshooter

CAPTURER SON ECRAN DANS FIREFOX :

Capture full web page screenshots in your browser instantly
►http://getfireshot.com/#demo-modal

This demo shows some basic operations you can apply to your captures.
►http://getfireshot.com/#demo-modal

https://ssl.getfireshot.com/images/slides/mainslide.png

Euh @lettonie_francija pourquoi faire la pub d’un truc non-libre et payant, alors que juste avant l’idée était de donner une méthode qui permettait de se passer des autres outils non-libres/avec pub/payants/etc ?

J’utilise sans pub et gratuitement Fireshot depuis longtemps ...
une liberté ...
comme aussi ctrl+impr
Fireshot permet directement de recadrer, etc ...
Le must , c’est avec XNvieuw qui renomme automatiquement les captures par association de touches décidée librement.
C’est encore avec XNVIEW, gratuit que les captures sont les plus simples et rapides , même en regardant la télévision de Lettonie, captures plein écran à grande vitesse ;-)

Ah hum, @lettonie_francija même « gratuit » cela reste un #logiciel_propriétaire, d’où la différence à connaitre entre free (libre) et free (gratuit).
▻http://fr.wikipedia.org/wiki/Gratuiciel

Un logiciel gratuit, gratuiciel, ou freeware est un logiciel propriétaire distribué gratuitement sans toutefois conférer à l’utilisateur certaines libertés d’usage1,2,note 1 associées au logiciel libre. Les termes « gratuiciel » ou « logiciel gratuit », dont l’usage est préconisé par la commission générale de terminologie et de néologie en France, sont des traductions du mot anglais freeware, qui est une contraction de free (gratuit) et software (logiciel) - contraction qui prête à confusion en anglais avec free software qui désigne en anglais un logiciel libre.

#adware

#adware