Superfish : Lenovo s'excuse mais élude le danger de piratage massif

Romain Heuillard
Publié le 20 février 2015 à 10h20
Lenovo a répondu, partiellement, à la controverse qui a éclaté hier, suite à la découverte d'un logiciel préinstallé qui ouvre (encore) la voie à des piratages de masse.

« Nous sommes désolé, nous avons déraillé, nous le reconnaissons, » a déclaré publiquement la division américaine de Lenovo, cette nuit sur Twitter. « Nous nous assurons que ça ne se reproduise plus jamais, » ajoute-t-il, avant de renvoyer vers un guide de désinstallation.

L'objet de la controverse c'est SuperFish, un logiciel préinstallé sur certains modèles d'ordinateurs de Lenovo, numéro un mondial du secteur. Il s'agit d'un logiciel publicitaire, d'un adware, d'un nouveau genre. Il est capable d'injecter des publicités sur les pages Web que l'utilisateur consulte, y compris lorsque la connexion est supposée être sécurisée, chiffrée, par le biais du protocole HTTPS.

0190000007914409-photo-lenovo-yoga-2-pro.jpg
Le Lenovo Yoga 2 Pro est l'un des modèles concernés

Les emails et coordonnées bancaires de milliers de clients de Lenovo accessibles

Lenovo donne l'impression de ne pas l'avoir décelé, mais pour y parvenir SuperFish compromet gravement la sécurité de ses utilisateurs. Pour s'interposer dans les échanges chiffrés des navigateurs, SuperFish a généralisé le recours à un certificat racine maison, qui remplace celui des éditeurs de sites Internet sécurisés.

Le problème c'est que la clé privée est livrée avec les ordinateurs, qu'elle a été extraite et publiée par des experts en sécurité informatique. Cette clé est « komodia », déesse grecque de la joie et de l'amusement. C'est aussi le nom d'une société spécialisée dans l'interception de paquets sur Internet.

Cette société le fait à des fins de contrôle parental, d'injection de publicité. Mais cette clé privée permet aussi à n'importe quel individu malveillant d'accomplir une attaque dite man-in-the-middle. Elle permet de déchiffrer les identifiants utilisés pour des services en ligne, de lire des emails ou d'intercepter des coordonnées bancaires.

0140000007914413-photo-lenovo-superfish.jpg

Lenovo minimise, ses clients livrés à eux-mêmes

Lenovo a publié un communiqué dans lequel il rassure ses clients ainsi que le marché, mais il minimise le problème.

Le numéro un mondial du PC assure pour commencer qu'il ne préinstalle plus SuperFish depuis le début du mois de janvier 2015. Et qu'il a coupé les serveurs permettant l'installation du logiciel chez les nouveaux acquéreurs d'ordinateurs fabriqués précédemment. Soulignons au passage que les utilisateurs pouvaient renoncer à l'installation du logiciel lors du premier démarrage de leur ordinateur.

Il indique enfin qu'il travaille « avec Superfish et d'autres partenaires industriels » (Komodia ?) pour résoudre les problèmes de sécurité. En d'autres termes, il élude purement et simplement la question de la faille dont sont victimes des milliers de clients. Il appartient donc à chaque client de Lenovo de vérifier s'ils sont affectés, et de désinstaller le logiciel Superfish ainsi que le certificat racine (guide en français). Nul doute que beaucoup passeront au travers des mailles du filet, ne sauront pas, ce qui ne semble pas émouvoir Lenovo.

0190000007914411-photo-lenovo-superfish.jpg
Pas sûr que M. Michu désinstalle le certificat, qui est pourtant la clé de voûte de la faille
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles