Lenovo a volontairement préinstallé un adware sur ses ordinateurs portables, un redoutable mouchard qui pouvait en plus être détourné.
Certainement pour satisfaire les idées de son service marketing, le constructeur chinois Lenovo a pris l’initiative de préinstaller un adware nommé Superfish sur ses ordinateurs portables. Cet adware avait pour but d’injecter de la publicité dans les pages web visitées par ses clients.
« Superfish est fourni uniquement avec les produits Lenovo et c’est une technologie qui aide les utilisateurs à trouver et découvrir des produits visuellement. La technologie analyse instantanément les images sur le web et présente des produits identiques et similaires qui peuvent avoir un prix inférieur, en aidant les utilisateurs à chercher des images sans savoir exactement comment s’appelle un objet ou comment le décrire dans un moteur de recherche textuel », s’est justifié Lenovo le mois dernier.
Alors que fait que logiciel publicitaire pollue son ordinateur est déjà suffisamment enquiquinant, ce n’est pas encore le pire au sujet de Superfish. En effet, cet adware s’avère bien plus redoutable que cela.
Utilisant des certificats cryptographiques auto-signés, Superfish est capable de scanner le contenu des pages habituellement protégées par une connexion sécurisée SSL, ce qui induit bien évidemment en erreur l’utilisateur qui croit surfer en toute sécurité sur le net.
Pire encore, « de nombreux utilisateurs relèvent que la même clef privée est utilisée sur tous les ordinateurs disposant du programme Superfish. Cela signifie que si une personne malintentionnée parvenait à mettre la main sur cette clef, en réussissant à extraire la clef chiffrée présente dans le certificat, elle pourrait facilement intercepter le trafic provenant des ordinateurs Lenovo connectés sur un Wi-Fi public, sans que ceux-ci ne se rendent compte de la manœuvre ». Et ce pire est bel et bien possible vu qu’un chercheur en sécurité a réussi à découvrir le mot de passe permettant de déchiffrer le certificat : « Je peux désormais utiliser cela pour réaliser une attaque de type man-in-the-middle contre les portables Lenovo », écrit Robert Graham.
Le chercheur explique que le mot de passe était « komodia », un mot qui est tout simplement le nom d’une entreprise dont le métier est justement de proposer des solutions de détournement du trafic SSL.
Cette révélation a bien évidemment placé Lenovo au centre d’une polémique u sujet de la préinstallation de cet adware. Pour tenter de la désamorcer, le constructeur chinois a pris plusieurs mesures, tout d’abord désactivé Superfish sur ses serveurs, mais aussi proposé une procédure pour que les utilisateurs puissent désinstaller cet adware de leur portable.
Il est à préciser que les portables Lenovo concernés par Superfish sont ceux qui ont été commercialisés entre septembre et décembre 2014.