Superfish
Superfish a été fondée en 2006 par Adi Pinhas et Michael Chertok. Pinhas est diplômé de l’Université de Tel Aviv. En 1999, il a cofondé Vigilant Technology, qui « a inventé l’enregistrement vidéo numérique pour le marché de la surveillance », selon son profil LinkedIn. Avant cela, il travaillait chez Verint, une société de renseignement qui analysait les signaux téléphoniques et qui aurait exploité les lignes de communication de Verizon. Chertok est diplômé du Technion et de l’Université Bar-Ilan avec 10 ans d’expérience dans « les systèmes d’exploration de données en temps réel à grande échelle. »
Depuis sa fondation, Superfish a utilisé une équipe d' »une douzaine de docteurs » principalement pour développer des algorithmes de comparaison et de correspondance d’images. Elle a lancé son premier produit, WindowShopper, en 2011. WindowShopper a immédiatement suscité un grand nombre de plaintes sur les forums Internet, d’utilisateurs qui ne savaient pas comment le logiciel avait été installé sur leurs machines.
Superfish a initialement reçu un financement de Draper Fisher Jurvetson, et à ce jour a levé plus de 20 millions de dollars, principalement auprès de DFJ et de Vintage Investment Partners. Forbes a classé la société au numéro 64 sur sa liste des entreprises les plus prometteuses d’Amérique.
Pinhas en 2014 a déclaré que « La recherche visuelle n’est pas là pour remplacer le clavier… la recherche visuelle est pour les cas dans lesquels je n’ai pas de mots pour décrire ce que je vois. »
En 2014, les produits Superfish comptaient plus de 80 millions d’utilisateurs.
En mai 2015, suite à l’incident de sécurité de Lenovo (voir ci-dessous) et pour prendre ses distances avec les retombées, l’équipe derrière Superfish a changé de nom et déplacé ses activités vers JustVisual.com .
Incident de sécurité Lenovo
Les utilisateurs avaient exprimé des préoccupations concernant les analyses du trafic Web crypté SSL par le logiciel de recherche visuelle Superfish préinstallé sur les machines Lenovo depuis au moins début décembre 2014. Cependant, cela n’est devenu un problème public majeur qu’en février 2015. L’installation comprenait une autorité de certification auto-signée universelle ; l’autorité de certification permet à une attaque de l’homme du milieu d’introduire des publicités même sur des pages cryptées. L’autorité de certification avait la même clé privée sur tous les ordinateurs portables; cela permet aux écoutes tierces d’intercepter ou de modifier des communications sécurisées HTTPS sans déclencher d’avertissements de navigateur en extrayant la clé privée ou en utilisant un certificat auto-signé.Le 20 février 2015, Microsoft a publié une mise à jour pour Windows Defender qui supprime Superfish. Dans un article paru dans Slate tech, David Auerbach compare l’incident au scandale du rootkit DRM de Sony et a déclaré à propos des actions de Lenovo: « l’installation de Superfish est l’une des erreurs les plus irresponsables qu’une entreprise technologique établie ait jamais commises. »Le 24 février 2015, Heise Security a publié un article révélant que le certificat en question serait également diffusé par un certain nombre d’applications d’autres sociétés, notamment SAY Media et le compagnon Web Ad-Aware de Lavasoft.
Les critiques du logiciel Superfish étaient antérieures à « l’incident Lenovo » et ne se limitaient pas à la communauté des utilisateurs Lenovo: dès 2010, les utilisateurs d’ordinateurs d’autres fabricants avaient exprimé des préoccupations dans le support en ligne et les forums de discussion que le logiciel Superfish avait été installé sur leurs ordinateurs à leur insu, en étant fourni avec d’autres logiciels.
Le PDG Pinhas, dans une déclaration motivée par les révélations de Lenovo, a soutenu que la faille de sécurité introduite par le logiciel Superfish n’était pas directement imputable à son propre code; au contraire, « il semble que le module complémentaire tiers ait introduit une vulnérabilité potentielle que nous ne connaissions pas » dans le produit. Il a identifié la source du problème comme un code rédigé par la société de technologie Komodia, qui traite, entre autres, des certificats de sécurité de sites Web. Le code Komodia est également présent dans d’autres applications, parmi lesquelles les logiciels de contrôle parental; et les experts ont déclaré que « l’outil Komodia pourrait mettre en péril toute entreprise ou programme utilisant le même code. »En fait, Komodia se réfère à son logiciel de décryptage et d’interception HTTPS comme un « pirate de l’air SSL », et le fait depuis au moins janvier 2011. Son utilisation par plus de 100 entreprises clientes peut compromettre « les données sensibles non seulement des clients Lenovo, mais également d’une base beaucoup plus large d’utilisateurs de PC. »Komodia a été fermé en 2018.