Aux États-Unis, des clients de Lenovo souhaitent lancer un recours collectif contre le constructeur chinois. Ils l'accusent d'avoir eu des pratiques commerciales illicites avec Superfish, un publiciel qui injecte de la publicité ciblée sur la page web.

Les ennuis judiciaires commencent pour Lenovo. Aux États-Unis, des clients du constructeur chinois ont déposé un recours collectif la semaine dernière afin d'obtenir des dédommagements dans l'affaire Superfish. Le site PC World explique que l'industriel asiatique est poursuivi pour ses pratiques commerciales, qualifiées d'illicites, et pour le risque qu'il fait courir à sa clientèle.

Superfish est le nom d'un publiciel ("adware") qui est préinstallé par Lenovo sur ses ordinateurs portables. Celui-ci permet d'injecter de la publicité contextuelle sur les pages web visitées par les internautes, même chiffrées. Or, les pages sécurisées avec le protocole SSL sont censées assurer la confidentialité et l'intégrité des données échangées entre l'usager et le serveur sur lequel se se connecte.

Pour fonctionner, Superfish impose son propre certificat auto-signé. Or, il est apparu que le système de Lenovo expose ses clients à un risque important : un pirate ouvrant un point d'accès WiFi dans un lieu public pourrait utiliser ce certificat pour intercepter les échanges chiffrés le contenu des pages HTTPS visitées par les propriétaires d'un PC Lenovo sur lequel se trouve Superfish.

Ce scénario n'est pas invraisemblable. Un chercheur en sécurité informatique est parvenu à découvrir la clé privée, qui est commune à toutes les machines concernées par le publiciel. Un mot de passe très basique, "komodia", est en effet utilisé pour chiffrer le certificat. "Je peux désormais utiliser cela pour réaliser une attaque de type Man-In-The-Middle contre les portables Lenovo", a expliqué le spécialiste.

Depuis, Lenovo a présenté ses excuses pour Superfish. L'entreprise chinoise reconnaît que "des vulnérabilités ont été identifiées avec le logiciel, qui incluent l'installation d'un certificat racine auto-signé". Le groupe a également fourni un guide de désinstallation pour nettoyer son ordinateur portable.


Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !