« Le scandale Superfish » a poussé le constructeur de PC chinois Lenovo a présenté des excuses publiques à ses clients, reconnaissance qu’il avait franchi la ligne rouge.« Nous sommes désolés. Nous avons capoté. Nous le reconnaissons. », s’excuse la division américaine de Lenovo, qui promet de « veiller à ce que cela ne se reproduise plus », et rassure les utilisateurs que « Superfish sera complètement désinstallé. »
Superfish est un adware qui est préinstallé par défaut sur certains modèles d’ordinateurs grand public de Lenovo. Le programme injecte des annonces publicitaires dans les recherches Google et les sites Web, sans le consentement de l’utilisateur, quel que soit le navigateur utilisé par celui-ci.
Le fonctionnement de l’application ouvre une grande brèche de sécurité sur l’ordinateur d’un utilisateur, qui peut être exploité pour des attaques de type man-in-the-middle, même sur des communications sécurisées.
En effet, Superfish installe un certificat autosigné, un certificat racine avec des privilèges avancés, permettant au logiciel d’espionner les connexions sécurisées, exposant de ce fait les données sécurisées (opérations bancaires, accès aux mails, etc.) des utilisateurs à des attaques malveillantes.
La présence d’un tel certificat représente une bavure de sécurité importante pour des experts en sécurité informatique. Il n’y a aucune raison justifiant l’installation par Superfish de cette manière d’un certificat racine maison, réservé à des autorités de certification. Ce dernier, en effet, permet de remplacer celui des sites Web sécurisés, car il a un niveau de confiance plus élevé.
Pire, la clé privée a été livrée avec les ordinateurs et elle a d’ores et déjà été publiée en ligne par des experts en sécurité qui l’ont extraite. « J’ai extrait le certificat de l’adware SuperFish et j’ai déchiffré le mot de passe (Komödia). », écrit dans un billet de blog l’expert en sécurité informatique Robert Graham. « La conséquence est que je peux intercepter des communications chiffrées des victimes de Superfish. »
« Lenovo a non seulement injecté des annonces publicitaires d’une façon grotesque et inappropriée, mais a également conçu une catastrophe sécuritaire pour ses utilisateurs », s’est insurgé, l’ Electronic Frontier Foundation, défenseur de la vie privée en ligne.
Le problème semble donc grave. Mais, Lenovo tente de minimiser les conséquences, tout en essayant de dégager sa responsabilité, car il aurait été floué par un éditeur tiers à l’origine de Superfish.
« Dans notre effort pour améliorer l’expérience utilisateur, nous avons préinstallé un logiciel tiers sur certains de nos ordinateurs portables grand public », affirme l’entreprise dans un communiqué. « Nous avions pensé que le produit permettait d’améliorer l’expérience de shopping comme prévu par Superfish. Il ne répond pas à nos attentes et celles de nos clients. »
Lenovo rassure que le programme n’est plus préinstallé sur ses appareils depuis janvier, et les connexions au serveur permettant d’installer Superfish sur les récentes acquisitions ont été coupées. Le constructeur affirme enfin qu’il travaille avec Superfish et les autres partenaires industriels pour résoudre le problème de sécurité.
Lenovo a également publié un article qui guide les utilisateurs dans la suppression de Superfish et du certificat de sécurité. Une liste des modèles de PC qui sont affectés par l’adware a été publiée, dont voici un extrait :
G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
U Series: U330P, U430P, U330Touch, U430Touch, U530Touch
Y Series: Y430P, Y40-70, Y50-70
Z Series: Z40-75, Z50-75, Z40-70, Z50-70
S Series: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
MIIX Series: MIIX2-8, MIIX2-10, MIIX2-11
YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
E Series: E10-30
Envoyé par nchal
)
Après je plaide aussi coupable car j'aurais pu mieux entretenir le mien sur ce point.
