"adware" installé sur les PC Lenovo - Atelier

Un adware installé sur les PC Lenovo
compromet les connexions sécurisées !
Il est courant que les ordinateurs de marque intègrent de nombreux logiciels préinstallés, assez souvent inutiles
pour l’utilisateur, mais qui sont le fruit d’un partenariat – parfois rémunéré – entre le constructeur et un ou
plusieurs éditeurs de logiciels. Lenovo vient de franchir une étape dans la course aux « crapwares » en intégrant
depuis quelques mois à ses ordinateurs un petit logiciel baptisé Superfish Visual Discovery.
Celui-ci, préinstallé d’usine, est chargé d’insérer de la publicité dans le navigateur Internet (Internet Explorer,
Chrome ou Firefox). Inutile de dire qu’il s’agit là d’une source de revenus complémentaires pour Lenovo, et une
source d’ennuis pour les utilisateurs. Car si l’installation de Superfish peut être annulée lors du premier
démarrage de l’ordinateur, peu de personnes font attention à la petite case qu’il faut décocher…
Plus inquiétant, certains utilisateurs se seraient plaint que Superfish utilise un certificat root auto-signé, ce qui
lui permettrait d’intercepter des connexions SSL/TLS sécurisées (sauf avec Firefox), comme par exemple lorsque
l’on consulte ses comptes bancaires en ligne. En d’autres termes, Superfish est capable de remplacer le
certificat habituel du site visité par son propre certificat, collectant au passage des données censées être
cryptées.
Superfish, au service des utilisateurs ?
En effet, Lenovo a commencé par ignorer les premiers signalements de la présence de cet adware, donnés dès
septembre 2014 par des utilisateurs sur le forum du constructeur.
Il a fallu attendre la fin du mois de janvier pour qu’un administrateur annonce finalement que ce logiciel allait
être mis hors service, tout en restant le plus vague possible :
« Nous avons temporairement fait cesser l’activité de Superfish de nos systèmes d’utilisateurs. Pour être clair,
Superfish [...] aide les utilisateurs à découvrir de nouveaux produits. La technologie analyse les images du Web
et présente des produits similaires à des prix inférieurs.
Cette technologie est strictement basée sur les images et non sur les comportements d’utilisateurs. A la
première utilisation, les conditions d’utilisation sont présentées et l’utilisateur peut choisir de ne pas les
accepter, Superfish sera alors désactivé. »
Ce n’était que le début de la crise. Le 19 février, le site Ars Technica révèle que le logiciel ne pose pas seulement
des problèmes pour les publicités, mais présente des risques d’intrusion dans des connexions sécurisées.
« On s’est plantés. On assume »
Ce même jour, l’entreprise publie un communiqué officiel, s’excusant de la situation et annonçant qu’elle a
coupé les serveurs alimentant le logiciel. Lenovo propose à ses clients un guide pour supprimer l’adware de la
liste des ordinateurs affectés.
Une étape nécessaire pour Didier Heiderich, président de l’Observatoire international des crises :
« Pour ses intérêts, l’entreprise ne doit pas prêter le flanc aux attaques en n’y répondant pas tout de suite. Elle
doit aussi délimiter le périmètre des produits affectés. Ce qui n’est pas évident dans ce cas. Une très grande
partie de la gamme n’est pas concernée, mais la perte de confiance risque d’être généralisée à tout Lenovo. »
Et ce vendredi, elle présentait ses excuses sur les réseaux sociaux.
Mais pour tenter de restaurer la confiance face à l’ampleur de la crise, Lenovo décide d’aller plus loin que la
majorité des constructeurs confrontés à une telle défaillance.
Les community managers de l’entreprise sont alors mobilisés pour répondre à la pluie de critiques qui s’abat
sur l’entreprise en jouant la proximité.
Lenovo tente de prendre en compte chaque utilisateur se plaignant, et en reconnaissant désormais son erreur,
elle tente de créer un lien humain pour recréer un climat de confiance. Pour Didier Heiderich, ce mea culpa
peut fonctionner mais n’est pas universel :
Une fois le pic de la crise passé, Lenovo pourra calculer les pertes que cette tromperie a entraînées. Mais le
travail ne sera pas terminé :
« L’entreprise va sûrement tenter de saturer l’espace numérique pour nettoyer le Web. Une société de cette
taille-là à toujours quelque chose à raconter. »