Superfish : Lenovo s'excuse mais élude le danger de piratage massif

Lenovo a répondu, partiellement, à la controverse qui a éclaté hier, suite à la découverte d'un logiciel préinstallé qui ouvre (encore) la voie à des piratages de masse.

« Nous sommes désolé, nous avons déraillé, nous le reconnaissons, » a déclaré publiquement la division américaine de Lenovo, cette nuit sur Twitter. « Nous nous assurons que ça ne se reproduise plus jamais, » ajoute-t-il, avant de renvoyer vers un guide de désinstallation.

L'objet de la controverse c'est SuperFish, un logiciel préinstallé sur certains modèles d'ordinateurs de Lenovo, numéro un mondial du secteur. Il s'agit d'un logiciel publicitaire, d'un adware, d'un nouveau genre. Il est capable d'injecter des publicités sur les pages Web que l'utilisateur consulte, y compris lorsque la connexion est supposée être sécurisée, chiffrée, par le biais du protocole HTTPS.

Les emails et coordonnées bancaires de milliers de clients de Lenovo accessibles

Lenovo donne l'impression de ne pas l'avoir décelé, mais pour y parvenir SuperFish compromet gravement la sécurité de ses utilisateurs. Pour s'interposer dans les échanges chiffrés des navigateurs, SuperFish a généralisé le recours à un certificat racine maison, qui remplace celui des éditeurs de sites Internet sécurisés.

Le problème c'est que la clé privée est livrée avec les ordinateurs, qu'elle a été extraite et publiée par des experts en sécurité informatique. Cette clé est « komodia », déesse grecque de la joie et de l'amusement. C'est aussi le nom d'une société spécialisée dans l'interception de paquets sur Internet.

Cette société le fait à des fins de contrôle parental, d'injection de publicité. Mais cette clé privée permet aussi à n'importe quel individu malveillant d'accomplir une attaque dite man-in-the-middle. Elle permet de déchiffrer les identifiants utilisés pour des services en ligne, de lire des emails ou d'intercepter des coordonnées bancaires.

Lenovo minimise, ses clients livrés à eux-mêmes

Lenovo a publié un communiqué dans lequel il rassure ses clients ainsi que le marché, mais il minimise le problème.

Le numéro un mondial du PC assure pour commencer qu'il ne préinstalle plus SuperFish depuis le début du mois de janvier 2015. Et qu'il a coupé les serveurs permettant l'installation du logiciel chez les nouveaux acquéreurs d'ordinateurs fabriqués précédemment. Soulignons au passage que les utilisateurs pouvaient renoncer à l'installation du logiciel lors du premier démarrage de leur ordinateur.

Il indique enfin qu'il travaille « avec Superfish et d'autres partenaires industriels » (Komodia ?) pour résoudre les problèmes de sécurité. En d'autres termes, il élude purement et simplement la question de la faille dont sont victimes des milliers de clients. Il appartient donc à chaque client de Lenovo de vérifier s'ils sont affectés, et de désinstaller le logiciel Superfish ainsi que le certificat racine (guide en français). Nul doute que beaucoup passeront au travers des mailles du filet, ne sauront pas, ce qui ne semble pas émouvoir Lenovo.