Partager cet article

Le chinois Lenovo installe un logiciel espion qui permet une faille dans vos connexions sécurisées

Lenovo Thinkpad x100e Acid Pix via Flickr CC License by

Lenovo Thinkpad x100e Acid Pix via Flickr CC License by

Certains ordinateurs du constructeur contiennent un publiciel par défaut. Non seulement il insère de la publicité lors de vos navigations Internet, mais en plus il crée ses propres certificats de sécurité, ce qui met votre connexion sécurisée en péril.

On connaissait les publiciels (ou adwares) que l'on installe par mégarde et qui viennent pourrir vos recherches Internet en insérant de la publicité en permanence. Voici le publiciel pré-installé dans certains ordinateurs du chinois Lenovo.

Comme l'explique le site spécialisé myce, de nombreux utilisateurs de machines Lenovo se plaignent que le constructeur aurait «pré-installé l'adware Superfish sur leurs ordinateurs. Superfish se cache dans Internet Explorer et Google Chrome et injecte des publicités sur les pages Web. Superfish est actif par défaut en arrière-plan sur les systèmes touchés. Il est probable que Lenovo installe l'adware depuis déjà plusieurs mois sur ses appareils».

Voici deux captures d'écran de recherche Google. A gauche, une recherche effectuée sans publiciel, à droite les résultats proposés par le publiciel installé sur certains appareils Lenovo. On voit que ce ne sont pas les mêmes que ceux proposés par Google Ads:

Capture d'écran Slate.fr et iknorr. On repère le surtitre «Visual Search Results» et la mention «Powered by...»

En clair, un logiciel pré-installé par le constructeur insère de la publicité lors de vos navigations Internet.

Comme le fait remarquer The Next Web, un administrateur de communautés de Lenovo, Mark Hopkins, avait déjà répondu aux interrogations d'utilisateurs irrités par l'apparition de pop-ups et autres actions non-souhaitées. 

A la fin du mois de janvier, sur un des forums du constructeur, il avait alors justifié la présence du publiciel qui devait aider «les utilisateurs à trouver et découvrir des produits». Mark Hopkins avait également expliqué que Superfish était momentanément retiré des appareils et avait indiqué qu'une mise à jour automatique serait mise en place pour ceux sur lesquels il était déjà installé. Interrogé par le Guardian, Lenovo a fait les mêmes remarques.

Mais ce n'est pas le plus gros problème, comme le soulève The Next Web: selon plusieurs utilisateurs le publiciel installe ses propres certificats de sécurité, «ce qui lui permet d'autoriser le logiciel à jeter un œil à vos connexions sécurisées, comme lorsque vous vous rendez sur le site de votre banque».

Un utilisateur fait ainsi remarquer à l'aide de captures d'écran que Superfish «pirate toutes vos connexions web sécurisées (SSL/TLS)». 

Ainsi certaines données privées (comme vos mots de passe par exemple) étaient à la portée de Superfish.

En général, on appelle cela une attaque de l'homme du milieu et on en entend parler lors de piratages.

Man in the middle attack.svg


« Man in the middle attack » par Miraceti — Travail personnel. Sous licence CC BY-SA 3.0 via Wikimedia Commons.

Clubic explique cependant qu'une manipulation permet au départ d'éviter de l'installer.

«L'utilisateur a la possibilité de refuser l'installation de ce programme en décochant une petite case au moment où il allume pour la première fois son nouveau PC, mais évidemment, peu font attention à ce genre de détails.»

Et, si vous n'avez pu l'éviter, «il est très simple de désinstaller Superfish. Voici d'ailleurs une vidéo qui vous explique comment procéder»:

Par ailleurs, Microsoft indique sur son site comment gérer ses certificats si vous pensez que votre ordinateur fait partie de ceux impliqués.

Pour supprimer le certificat SSL de Superfish sur Windows 7: suivez ces instructions, trouvez  Superfish Inc. et supprimez.

Pour rappel, rien qu'en 2014, Lenovo a vendu plus de 59 millions de PC, faisant de lui le numéro un du marché, selon Gartner.

Mise à jour du 19 février: Lenovo a publié un communiqué sur son site web, où il déclare que Superfish a été désactivé des produits mis sur le marché depuis janvier 2015. Il y donne la totalité des modèles sur lesquels Superfish a pu être installé et présente également un tutoriel pour le supprimer.

 

En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour réaliser des statistiques de visites, vous proposer des publicités adaptées à vos centres d’intérêt et nous suivre sur les réseaux sociaux. > Paramétrer > J'accepte