Passer au contenu

Lenovo préinstallait un adware et un certificat de sécurité bidon sur ses PC !

A deux doigts du scandale : le plus gros fabricant de PC au monde a implanté dans certains de ses ordinateurs grand public un adware particulièrement intrusif, qui posait d’énormes problèmes de sécurité. Devant le tollé, la firme a réagi.

Vous avez un ordinateur Lenovo ? Alors faites la vérification de suite : exécutez (grâce à la commande Windows+R) le programme certmgr.msc. Puis rendez-vous dans la section « Autorités de certification racine » et regardez si vous avez un certificat délivré par, et à « Superfish, inc ». Le cas échéant, faites un clic droit et supprimez-le de ce pas.

Ce petit fichier n’a en effet rien à faire là. Il a été préinstallé par Lenovo sur votre machine : le numéro un du PC a en effet passé un accord commercial avec l’entreprise américaine Superfish, qui traine dans des business plutôt douteux… Puisqu’elle commercialise un adware, qui vient polluer vos sessions de surf sur le Web par des publicités supplémentaires agaçantes.

Comment ça marche ?

Ce pourriciel fonctionne grâce un proxy qui tourne en permanence sur votre machine. De cette manière, Superfish est capable d’intercepter à la volée vos sessions de surf et de modifier les pages web que vous consultez pour y injecter ses publicités indésirables. C’est une technique assez classique, mais il est déjà hallucinant qu’un fabricant d’ordinateurs intègre un tel produit à ses machines.

Mais la version de Superfish installée dans ces PC Lenovo pose un problème bien plus grave, à cause de ce fameux certificat racine. Car, placé ainsi au cœur de Windows, ce petit fichier permet aussi à l’adware de déchiffrer toutes vos sessions HTTPS : lorsque le proxy tourne, Superfish fait en sorte que toutes les connexions sécurisées effectuées soient validées par son faux certificat. Résultat : vous pensez être sous une connexion sécurisée (cadenas vert) alors que vos communications sont déchiffrées, et que le logiciel continue à vous envoyer des pubs… qu’il ne pourrait pas afficher si votre connexion était chiffrée. Seuls les utilisateurs de Firefox, qui utilise sa propre liste de certificats, sont alors en sécurité. 

La photo ci-dessous montre par exemple une session de surf a priori sécurisée sur le site de Bank of America… avec le certificat Superfish.

Au delà du mépris pour l’utilisateur que cela suppose, cette pratique détestable pose d’énormes problèmes de sécurité. D’abord parce que potentiellement, Superfish peut « lire » toutes vos données, même les plus personnelles. Ensuite parce que le certificat utilise la même clé privée sur toutes les machines sur laquelle il est installé… Et que celle-ci a été publiée sur le net. Résultat : tous les utilisateurs d’ordinateurs Lenovo infectés par cet Adware sont à la merci de hackers (ou de la NSA) qui pourraient en profiter pour leur jouer des mauvais tours en créant des certificats auxquels leur machine ferait confiance sans broncher. Pire, comme vient de le démontrer l’excellent Robert Graham, un hacker connecté à un hotspot public pourrait parfaitement récupérer toutes les communications chiffrées (mots de passe, informations bancaires) depuis une machine Lenovo sur laquelle Superfish est installé.

Lenovo réagit

Le problème est évoqué depuis plusieurs semaines sur les forums de Lenovo. La marque a fini par réagir fin janvier en « supprimant temporairement Superfish de ses machines grand public » en attendant un patch qui règlerait les soucis. Mais étonnamment, il n’était à l’époque nulle part fait mention de ce certificat. Juste de « problèmes » dus à certains comportements de l’adware, comme des pubs qui apparaissent en pop-up.  Lenovo défendait par ailleurs ardemment son partenaire en plusieurs paragraphes quasi-promotionnels : « La technologie de Superfish aide les utilisateurs à trouver et à découvrir des produits de façon visuelle »  indique notamment la marque, avant de rappeler que Superfish ne pratique pas d’analyse du comportement de l’utilisateur. La belle jambe…

Mais le discours vient de changer. Devant le tollé provoqué par cet encombrant partenariat, Lenovo fait machine arrière. Et promet que Superfish est désormais désactivé, et qu’il n’installera plus ce logiciel par défaut à l’avenir. « Notre objectif est de trouver des technologies qui servent au mieux nos utilisateurs. Ici, nous avons répondu rapidement aux retours négatifs, et avons pris des actions décisives ».

La fin de l’histoire ? On l’espère. Toujours est-il qu’il est inquiétant de voir des fabricants de PC, sans doute à la recherche de nouvelles sources de revenus, s’acoquiner ainsi avec des entreprises qui n’hésitent pas à jouer avec nos données et notre sécurité.

Lire aussi:

Komodia, la pieuvre du pourriciel qui se cache derrière le scandale Lenovo, le 21/02/2015

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Eric LB