Aux États-Unis, des clients de Lenovo souhaitent lancer un recours collectif contre le constructeur chinois. Ils l'accusent d'avoir eu des pratiques commerciales illicites avec Superfish, un publiciel qui injecte de la publicité ciblée sur la page web.

Les ennuis judiciaires commencent pour Lenovo. Aux États-Unis, des clients du constructeur chinois ont déposé un recours collectif la semaine dernière afin d'obtenir des dédommagements dans l'affaire Superfish. Le site PC World explique que l'industriel asiatique est poursuivi pour ses pratiques commerciales, qualifiées d'illicites, et pour le risque qu'il fait courir à sa clientèle.

Superfish est le nom d'un publiciel ("adware") qui est préinstallé par Lenovo sur ses ordinateurs portables. Celui-ci permet d'injecter de la publicité contextuelle sur les pages web visitées par les internautes, même chiffrées. Or, les pages sécurisées avec le protocole SSL sont censées assurer la confidentialité et l'intégrité des données échangées entre l'usager et le serveur sur lequel se se connecte.

Pour fonctionner, Superfish impose son propre certificat auto-signé. Or, il est apparu que le système de Lenovo expose ses clients à un risque important : un pirate ouvrant un point d'accès WiFi dans un lieu public pourrait utiliser ce certificat pour intercepter les échanges chiffrés le contenu des pages HTTPS visitées par les propriétaires d'un PC Lenovo sur lequel se trouve Superfish.

Ce scénario n'est pas invraisemblable. Un chercheur en sécurité informatique est parvenu à découvrir la clé privée, qui est commune à toutes les machines concernées par le publiciel. Un mot de passe très basique, "komodia", est en effet utilisé pour chiffrer le certificat. "Je peux désormais utiliser cela pour réaliser une attaque de type Man-In-The-Middle contre les portables Lenovo", a expliqué le spécialiste.

Depuis, Lenovo a présenté ses excuses pour Superfish. L'entreprise chinoise reconnaît que "des vulnérabilités ont été identifiées avec le logiciel, qui incluent l'installation d'un certificat racine auto-signé". Le groupe a également fourni un guide de désinstallation pour nettoyer son ordinateur portable.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !