"adware" installé sur les PC Lenovo - Atelier
Transcription
"adware" installé sur les PC Lenovo - Atelier
Un adware installé sur les PC Lenovo compromet les connexions sécurisées ! Il est courant que les ordinateurs de marque intègrent de nombreux logiciels préinstallés, assez souvent inutiles pour l’utilisateur, mais qui sont le fruit d’un partenariat – parfois rémunéré – entre le constructeur et un ou plusieurs éditeurs de logiciels. Lenovo vient de franchir une étape dans la course aux « crapwares » en intégrant depuis quelques mois à ses ordinateurs un petit logiciel baptisé Superfish Visual Discovery. Celui-ci, préinstallé d’usine, est chargé d’insérer de la publicité dans le navigateur Internet (Internet Explorer, Chrome ou Firefox). Inutile de dire qu’il s’agit là d’une source de revenus complémentaires pour Lenovo, et une source d’ennuis pour les utilisateurs. Car si l’installation de Superfish peut être annulée lors du premier démarrage de l’ordinateur, peu de personnes font attention à la petite case qu’il faut décocher… Plus inquiétant, certains utilisateurs se seraient plaint que Superfish utilise un certificat root auto-signé, ce qui lui permettrait d’intercepter des connexions SSL/TLS sécurisées (sauf avec Firefox), comme par exemple lorsque l’on consulte ses comptes bancaires en ligne. En d’autres termes, Superfish est capable de remplacer le certificat habituel du site visité par son propre certificat, collectant au passage des données censées être cryptées. Superfish, au service des utilisateurs ? En effet, Lenovo a commencé par ignorer les premiers signalements de la présence de cet adware, donnés dès septembre 2014 par des utilisateurs sur le forum du constructeur. Il a fallu attendre la fin du mois de janvier pour qu’un administrateur annonce finalement que ce logiciel allait être mis hors service, tout en restant le plus vague possible : « Nous avons temporairement fait cesser l’activité de Superfish de nos systèmes d’utilisateurs. Pour être clair, Superfish [...] aide les utilisateurs à découvrir de nouveaux produits. La technologie analyse les images du Web et présente des produits similaires à des prix inférieurs. Cette technologie est strictement basée sur les images et non sur les comportements d’utilisateurs. A la première utilisation, les conditions d’utilisation sont présentées et l’utilisateur peut choisir de ne pas les accepter, Superfish sera alors désactivé. » Ce n’était que le début de la crise. Le 19 février, le site Ars Technica révèle que le logiciel ne pose pas seulement des problèmes pour les publicités, mais présente des risques d’intrusion dans des connexions sécurisées. « On s’est plantés. On assume » Ce même jour, l’entreprise publie un communiqué officiel, s’excusant de la situation et annonçant qu’elle a coupé les serveurs alimentant le logiciel. Lenovo propose à ses clients un guide pour supprimer l’adware de la liste des ordinateurs affectés. Une étape nécessaire pour Didier Heiderich, président de l’Observatoire international des crises : « Pour ses intérêts, l’entreprise ne doit pas prêter le flanc aux attaques en n’y répondant pas tout de suite. Elle doit aussi délimiter le périmètre des produits affectés. Ce qui n’est pas évident dans ce cas. Une très grande partie de la gamme n’est pas concernée, mais la perte de confiance risque d’être généralisée à tout Lenovo. » Et ce vendredi, elle présentait ses excuses sur les réseaux sociaux. Mais pour tenter de restaurer la confiance face à l’ampleur de la crise, Lenovo décide d’aller plus loin que la majorité des constructeurs confrontés à une telle défaillance. Les community managers de l’entreprise sont alors mobilisés pour répondre à la pluie de critiques qui s’abat sur l’entreprise en jouant la proximité. Lenovo tente de prendre en compte chaque utilisateur se plaignant, et en reconnaissant désormais son erreur, elle tente de créer un lien humain pour recréer un climat de confiance. Pour Didier Heiderich, ce mea culpa peut fonctionner mais n’est pas universel : Une fois le pic de la crise passé, Lenovo pourra calculer les pertes que cette tromperie a entraînées. Mais le travail ne sera pas terminé : « L’entreprise va sûrement tenter de saturer l’espace numérique pour nettoyer le Web. Une société de cette taille-là à toujours quelque chose à raconter. »