Superfish : Lenovo a joué avec un logiciel espion

RisquesSécuritéVirus
superfish-lenovo

Mis sous pression par les experts en sécurité IT, Lenovo a reconnu avoir préchargé, sur certains de ses PC portables, un logiciel espion baptisé Superfish.

Lenovo a craché le morceau lorsque le doute n’était plus permis : confronté aux révélations d’experts en sécurité informatique, le leader mondial du PC a admis avoir préchargé, sur certains de ses ordinateurs portables, un logiciel espion.

Après avoir tenté de minimiser l’affaire, l’industriel chinois a finalement retourné sa veste : il a émis une alerte et proposé la désinstallation de programme développé par la société américaine Superfish.

Depuis plusieurs mois, des utilisateurs de notebooks Lenovo sous Windows (hors gamme ThinkPad) se plaignaient de la présence de ce logiciel publicitaire qui surveille le trafic Web et injecte des recommandations produits dans les résultats de recherche.

Superfish agit aussi lorsque les connexions sont chiffrées via le protocole SSL (Secure Sockets Layer). Comment ? En installant son propre certificat racine dans le gestionnaire de certificats Windows. Il fonctionne alors comme un proxy et implante sa propre signature dans tous les certificats présentés par des sites HTTPS, trompant ainsi les navigateurs Web.

Problème : au-delà de ce désagrément, les systèmes sur lesquels l’adware est installé sont vulnérable… au moins dans certaines configurations. CTO de la firme Errata Security, Robert Graham est parvenu à extraire le certificat de Superfish et à craquer la clé privée associée. Le signe d’une exposition aux attaques de type « Man-in-the-middle » et donc au vol de données personnelles.

Le mea culpa est venu du compte Twitter de Lenovo U.S. « Nous sommes désolés, nous avons déraillé, nous le reconnaissons. Nous veillerons à ce que cela ne se reproduise plus jamais« .

lenovo-superfish

Pour tenter de conserver la confiance du marché, Lenovo a publié un communiqué, une alerte de sécurité et un guide de désinstallation. Sur la liste des machines concernées figurent les notebooks séries E, Flex, G, M, S, U, Y, Yoga et Z vendus entre septembre 2014 et février 2015.

Lenovo assure avoir mis un terme au préchargement de Superfish il y a quelques jours et avoir coupé, en janvier, les connexions serveur qui permettent son exécution. Comme le note Silicon.fr, le groupe étudie désormais les moyens d’automatiser la procédure de désinstallation, avec des partenaires tels que Microsoft et McAfee.

Crédit photo : max sattana – Shutterstock.com

Lire aussi :