Superfish : Quand Lenovo « infecte » ses PC

Superfish, l’adware que Lenovo préinstalle sur ses machines…

Superfish est un adware (ou publiciel, en français), il s’agit d’un logiciel qui sert à afficher de la publicité et en général le publiciel vous espionne afin de pouvoir vous présenter des contenus plus pertinents. On côtoie des publiciel un peu partout, notamment dans les applications ou logiciels gratuits dans lesquels ils servent à amortir le cout du développement et il est dans ce cas là souvent possible de payer pour les supprimer. Les publiciels passent du côté obscur de la force quand leur présence n’est pas indiquée clairement aux utilisateurs et/ou qu’ils récupèrent des informations qu’ils ne devraient pas (par exemple vos identifiants et mots de passe), le souci étant que les antivirus les considèreront généralement comme légitimes et qu’ils vous espionneront donc sans que vous ne puissiez vous en douter !

Dans le cas de Superfish, développé par la société éponyme, d’un part sa présence sur les ordinateurs Lenovo, sur lesquels il était préinstallé depuis quelques temps avec le bundle logiciel, n’était pas clairement indiquée, d’autre part, par le biais d’un certificat auto-signé, qui lui permettait d’intercepter les communications SSL et d’y ajouter du contenu, il pouvait afficher ses annonce sur les pages web cryptées (pages de paiement par exemple). Outre cette capacité d’afficher de la publicité sur n’importe quelle page web sécurisée ou non, Superfish a aussi la capacité de modifier les résultats des recherches Google.

Comme si ce n’était pas suffisant, le fameux certificat de Superfish est aussi très facile à utiliser par un tiers, notamment pour réaliser des « attaques de l’homme du milieu« , c’est à dire en interceptant des communications entre plusieurs personnes. Le Département de la Sécurité intérieure des États-Unis incite d’ailleurs les utilisateurs d’ordinateurs Lenovo à supprimer Superfish et son certificat et ce 20 février, Microsoft publiait une mise à jour de Windows Defender qui supprime Superfish. Si vous possédez un ordinateur Lenovo il vous faut veiller à supprimer le publiciel et le certificat (ici le lien pour la méthode proposée par 01.net).

D’autre part, Lenovo a présenté ses excuses auprès de ses utilisateurs pour les désagréments qui ont pu être engendrés par Superfish et a entrepris de débarrasser ses utilisateurs du publiciel en publiant un outil dédié et a bien évidemment cessé de l’inclure dans le bundle logiciel. Ces excuses n’ont pas été jugées suffisantes par tout le monde et une cliente américaine à décidé de porter plainte contre le numéro un mondial du PC en espérant ainsi toucher des dommages et intérêts.

Si cet incident a bien entaché la réputation de fiabilité du constructeur chinois, il compte bien apprendre de ses erreurs et a déclaré que ce genre de souci ne se reproduirait plus, mais une lettre ouverte seule ne suffira pas à racheter la confiance de tous ses utilisateurs et Lenovo va devoir être vigilent et se racheter une conduite pour conserver sa place de numéro un mondial.