Le fabricant chinois Lenovo a passé un accord à l'amiable aux États-Unis pour en finir avec l'affaire de l'adware de Superfish, qui était installé sur certains de ses ordinateurs portables et qui menaçait la sécurité de ses clients.

Vous vous souvenez de la polémique autour de Superfish ? Pour vous rafraichir un peu la mémoire, il s’agissait d’un publiciel (« adware ») qui était préinstallé sur des ordinateurs portables vendus par le constructeur chinois Lenovo. Celui-ci permettait d’injecter de la publicité contextuelle sur les pages web visitées par les propriétaires de ces postes informatiques.

Sauf qu’il est aussi apparu que VisualDiscovery, le nom du publiciel développé par la société Superfish, agissait comme une attaque de type « homme du milieu » envers les clients du fabricant asiatique. En clair, il pouvait conduire à l’interception de pages web censées être sécurisées, c’est-à-dire dont le contenu ne peut pas être lu par un tiers. Plusieurs centaines de milliers de PC ont été concernés.

L’affaire, qui a été un véritable coup dur pour son image de marque, a conduit Lenovo à présenter ses excuses et à concevoir un outil de désinstallation afin de venir en aide à sa clientèle désireuse d’enlever VisualDiscovery de leur machine. En parallèle, sur le plan judiciaire, un recours collectif a été lancé aux États-Unis tandis que le procureur général du Connecticut a ouvert une enquête.

Finalement, c’est un accord à l’amiable qui a mis un point final à ce dossier. L’agence en charge du droit à la consommation aux USA annonce qu’un terrain d’entente a été trouvé entre toutes les parties. La FTC indique que Lenovo va devoir verser un dédommagement de 3,5 millions de dollars et prendre un certain nombre de mesures afin d’éviter à l’avenir de proposer ce type de logiciels préinstallés (comme recueillir le consentement préalable des clients avant toute installation, par exemple).

« Lenovo s’interdit de présenter sous un faux jour la moindre caractéristique d’un logiciel préinstallé sur un PC portable qui injecterait de la publicité dans les sessions de navigation Internet des internautes ou qui transmettrait des informations sensibles à des tiers », écrit la FTC, qui impose en outre des audits externes et la mise en place d’un programme de sécurité logicielle pendant vingt ans.

De son côté, Lenovo a déclaré être en désaccord avec les allégations contenues dans ces plaintes  et insisté sur le fait qu’il n’existe pas, à sa connaissance, d’éléments montrant que les vulnérabilités permises par le comportement de VisualDiscovery lorsqu’il était actif sur les ordinateurs de ses clients aient permis d’accéder aux communications d’un utilisateur.

Pour autant, le fait que le constructeur chinois accepte un règlement à l’amiable montre qu’il cherche surtout à tourner la page le plus vite possible plutôt que de combattre coûte que coûte les allégations dont il fait l’objet.

Partager sur les réseaux sociaux