Lenovo a présenté ses excuses pour avoir imposé l'adware Superfish aux acheteurs de ses ordinateurs portables, alors que le logiciel présentait des risques pour la confidentialité de leurs données.

Alors qu'il avait dans un premier temps tenté de minimiser le problème et de nier les risques de sécurité posés par son initiative malheureuse, Lenovo a finalement présenté ses excuses pour avoir pré-installé l'adware Superfish sur ses ordinateurs portables livrés (a priori) entre octobre 2014 et janvier 2015. "Nous présentons nos excuses pour avoir causé le moindre problème à tout utilisateur pour quelque raison que ce soit", écrit la firme dans un communiqué.

Superfish affichait de la publicité contextuelle au coeur des pages web visitées par les internautes, en analysant le contenu des pages. Mais au delà de la gêne occasionnée, le problème est que pour lire le contenu des pages normalement chiffrées par le protocole SSL, le logiciel imposait son propre certificat auto-signé, dont la clé privée commune à tous les ordinateurs concernés a rapidement été découverte par un chercheur en sécurité informatique. Potentiellement, un hacker ouvrant un point d'accès Wifi dans un lieu public pourrait donc utiliser ce certificat pour intercepter le contenu de toutes les pages HTTPS visitées par le possesseur d'un ordinateur portable Lenovo sur lequel est installé Superfish.

DES INITIATIVES A VENIR

Lenovo n'a pas explicitement prévenu de cette faille de sécurité dans son communiqué, mais a tout de même donné le lien vers une alerte de sécurité qu'il publie en parallèle. Le constructeur y reconnaît que "des vulnérabilités ont été identifiées avec le logiciel, qui incluent l'installation d'un certificat racine auto-signé". Il livre aussi un déinstalleur. Mais problème, et non des moindres : "l'application peut être désinstallée, cependant le désinstalleur actuel ne supprime pas le certificat racine de Superfish".

Il faut donc suivre des indications supplémentaires pour supprimer le certificat ajouté aux "certificats racines approuvés" de Windows 8.1.

Un bien sortira-t-il du mal ? "D'ici la fin du mois, nous annoncerons un plan pour aider à diriger Lenovo et notre industrie vers plus de connaissance, plus de compréhension, et une plus grande attention aux problèmes entourant les adwares, les pré-installations et la sécurité", promet Lenovo.


Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !