Superfish : Lenovo s'excuse mais élude le danger de piratage massif

20 février 2015 à 10h20
0
Lenovo a répondu, partiellement, à la controverse qui a éclaté hier, suite à la découverte d'un logiciel préinstallé qui ouvre (encore) la voie à des piratages de masse.

« Nous sommes désolé, nous avons déraillé, nous le reconnaissons, » a déclaré publiquement la division américaine de Lenovo, cette nuit sur Twitter. « Nous nous assurons que ça ne se reproduise plus jamais, » ajoute-t-il, avant de renvoyer vers un guide de désinstallation.

L'objet de la controverse c'est SuperFish, un logiciel préinstallé sur certains modèles d'ordinateurs de Lenovo, numéro un mondial du secteur. Il s'agit d'un logiciel publicitaire, d'un adware, d'un nouveau genre. Il est capable d'injecter des publicités sur les pages Web que l'utilisateur consulte, y compris lorsque la connexion est supposée être sécurisée, chiffrée, par le biais du protocole HTTPS.

0190000007914409-photo-lenovo-yoga-2-pro.jpg
Le Lenovo Yoga 2 Pro est l'un des modèles concernés

Les emails et coordonnées bancaires de milliers de clients de Lenovo accessibles

Lenovo donne l'impression de ne pas l'avoir décelé, mais pour y parvenir SuperFish compromet gravement la sécurité de ses utilisateurs. Pour s'interposer dans les échanges chiffrés des navigateurs, SuperFish a généralisé le recours à un certificat racine maison, qui remplace celui des éditeurs de sites Internet sécurisés.

Le problème c'est que la clé privée est livrée avec les ordinateurs, qu'elle a été extraite et publiée par des experts en sécurité informatique. Cette clé est « komodia », déesse grecque de la joie et de l'amusement. C'est aussi le nom d'une société spécialisée dans l'interception de paquets sur Internet.

Cette société le fait à des fins de contrôle parental, d'injection de publicité. Mais cette clé privée permet aussi à n'importe quel individu malveillant d'accomplir une attaque dite man-in-the-middle. Elle permet de déchiffrer les identifiants utilisés pour des services en ligne, de lire des emails ou d'intercepter des coordonnées bancaires.

0140000007914413-photo-lenovo-superfish.jpg

Lenovo minimise, ses clients livrés à eux-mêmes

Lenovo a publié un communiqué dans lequel il rassure ses clients ainsi que le marché, mais il minimise le problème.

Le numéro un mondial du PC assure pour commencer qu'il ne préinstalle plus SuperFish depuis le début du mois de janvier 2015. Et qu'il a coupé les serveurs permettant l'installation du logiciel chez les nouveaux acquéreurs d'ordinateurs fabriqués précédemment. Soulignons au passage que les utilisateurs pouvaient renoncer à l'installation du logiciel lors du premier démarrage de leur ordinateur.

Il indique enfin qu'il travaille « avec Superfish et d'autres partenaires industriels » (Komodia ?) pour résoudre les problèmes de sécurité. En d'autres termes, il élude purement et simplement la question de la faille dont sont victimes des milliers de clients. Il appartient donc à chaque client de Lenovo de vérifier s'ils sont affectés, et de désinstaller le logiciel Superfish ainsi que le certificat racine (guide en français). Nul doute que beaucoup passeront au travers des mailles du filet, ne sauront pas, ce qui ne semble pas émouvoir Lenovo.

0190000007914411-photo-lenovo-superfish.jpg
Pas sûr que M. Michu désinstalle le certificat, qui est pourtant la clé de voûte de la faille
Modifié le 01/06/2018 à 15h36
0
0
Partager l'article :

Les actualités récentes les plus commentées

Barbara Pompili, ministre de la transition écologique, qualifie le réacteur EPR de
Face à de très mauvais résultats financiers, EDF s'apprête à se serrer la ceinture
Pollution : un think tank britannique demande à interdire les publicités pour les SUV
Quand Elon Musk affirme que les pyramides ont été érigées par des aliens, l'Égypte l'invite sur place
AMD : fleuron de la future cuvée Zen 3, le Ryzen 9 4950X pourrait monter à 4,8 GHz
Depuis 2011, Hadopi c'est 87 000 euros d'amende pour... des dizaines de millions d'euros de subventions !
Donald Trump sanctionné par Twitter et Facebook, pour une vidéo qualifiée de
Projet ATTOL : Airbus fait rouler, décoller et atterrir un avion commercial de façon autonome
Les employés de Blizzard font la lumière sur d'inquiétantes disparités salariales
La Chine menace les Etats-Unis en cas de vente forcée de TikTok
scroll top