Alors qu'il avait dans un premier temps tenté de minimiser le problème et de nier les risques de sécurité posés par son initiative malheureuse, Lenovo a finalement présenté ses excuses pour avoir pré-installé l'adware Superfish sur ses ordinateurs portables livrés (a priori) entre octobre 2014 et janvier 2015. "Nous présentons nos excuses pour avoir causé le moindre problème à tout utilisateur pour quelque raison que ce soit", écrit la firme dans un communiqué.
Superfish affichait de la publicité contextuelle au coeur des pages web visitées par les internautes, en analysant le contenu des pages. Mais au delà de la gêne occasionnée, le problème est que pour lire le contenu des pages normalement chiffrées par le protocole SSL, le logiciel imposait son propre certificat auto-signé, dont la clé privée commune à tous les ordinateurs concernés a rapidement été découverte par un chercheur en sécurité informatique. Potentiellement, un hacker ouvrant un point d'accès Wifi dans un lieu public pourrait donc utiliser ce certificat pour intercepter le contenu de toutes les pages HTTPS visitées par le possesseur d'un ordinateur portable Lenovo sur lequel est installé Superfish.
DES INITIATIVES A VENIR
Lenovo n'a pas explicitement prévenu de cette faille de sécurité dans son communiqué, mais a tout de même donné le lien vers une alerte de sécurité qu'il publie en parallèle. Le constructeur y reconnaît que "des vulnérabilités ont été identifiées avec le logiciel, qui incluent l'installation d'un certificat racine auto-signé". Il livre aussi un déinstalleur. Mais problème, et non des moindres : "l'application peut être désinstallée, cependant le désinstalleur actuel ne supprime pas le certificat racine de Superfish".
Il faut donc suivre des indications supplémentaires pour supprimer le certificat ajouté aux "certificats racines approuvés" de Windows 8.1.
Un bien sortira-t-il du mal ? "D'ici la fin du mois, nous annoncerons un plan pour aider à diriger Lenovo et notre industrie vers plus de connaissance, plus de compréhension, et une plus grande attention aux problèmes entourant les adwares, les pré-installations et la sécurité", promet Lenovo.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.