Il semblerait que Lenovo, le fabricant des célèbres ordinateurs portables ThinkPad, ait commis un impair majeur.
L’entreprise aurait installé Superfish, un logiciel publicitaire (adware), sur tous les ordinateurs portables à destination du grand public vendus internationalement, afin de gagner de l’argent. Cela durerait depuis au moins juin 2014. Il semblerait que la ligne des ThinkPad ne soit pas concernée.
Le problème de ce type de logiciels est qu’ils sont toujours à la limite de la légalité, voire illégaux. Ils perturbent l’utilisateur en s’installant subrepticement dans Google Chrome et Internet Explorer, en faisant apparaître des fenêtres de publicité non désirées, en s’immisçant dans les résultats de moteurs de recherche de telle façon qu’il n’apparaît pas immédiatement à l’utilisateur qu’il s’agit de publicités et non pas de résultats.
Comme la plupart des logiciels malveillants, ils sont extrêmement difficiles à désinstaller.
De très nombreux clients se sont plaints dans les forums de la marque, qui s’est défendue, de façon fort peu convaincante, en affirmant que le logiciel « aidait les utilisateurs visuellement à trouver des produits. », et que l’utilisateur pouvait refuser les conditions générales lors de l’installation du portable, afin de ne pas installer SuperFish.
Pire encore, tous les signes semblent s’accorder pour prouver que SuperFish est un logiciel malveillant. Il installe un service intermédiaire transparent qui intercepte les connexions du navigateur, lui permettant de procéder à des attaques de l’homme du milieu et de violer les données personnelles.
Il installe un faux certificat racines auto signés qui lui permet d’intercepter, de déchiffrer, et de re-chiffrer toutes les connexions chiffrées SSL, comme la consultation d’informations bancaires.
En d’autres termes, la sécurité des utilisateurs est fortement compromise. Ils auront l’impression de mener des transactions sécurisées quand ce ne sera pas le cas. Ils ne recevront pas d’avertissement si le certificat du site visité est périmé ou compromis. Cerise sur le gâteau, le faux certificat de SuperFish utilise une clé 1 024 bits RSA de type SHA-1, ce qui est à peu près ce que l’on peut faire de moins sûr. On s’expose donc à des attaques de pirates tiers. Et comme SuperFish utilise le même certificat sur tous les ordinateurs où il est installé, il est facile pour la NSA ou tout pirate d’intercepter toutes les connexions passant par exemple par le réseau Wi-Fi d’un café ou d’un hôtel.
La désinstallation de SuperFish ne suffit pas car le certificat est toujours présent. L’enlever n’est probablement pas à la portée de la plupart des clients.
Depuis ces découvertes, Lenovo a retiré le logiciel des nouveaux portables, et demandé à SuperFish de fournir une mise à jour automatique « pour traiter ces problématiques ».
Cela semble bien peu, et la marque pourrait s’exposer à des poursuites juridiques comme à la perte de confiance de sa clientèle.