En préinstallant l’adware SuperFish sur ses portables, Lenovo ne pensait qu’à se faire de l’argent. Au final, c’est une véritable brèche de sécurité qui a été ouverte.
Dans le but de monétiser le surf des acheteurs de ses ordinateurs, Lenovo a décidé de préinstaller SuperFish sur ses portables. Récupérant les informations des images affichées, le but de cet adware était de proposer à l’internaute des produits similaires.
Bien que gênant pour l’utilisateur, cette publicité non sollicitée n’était à priori pas dangereuse. Mais voilà, SuperFish a été conçu d’une façon qu’il rendait vulnérable toute la machine.
Lors de son installation sur la machine, SuperFish installe une autorité de certification self-signée. Dernière ce dispositif au nom barbare, il faut comprendre un système qui permet de signer toutes les communications SSL sensées être cryptées, ce qui permettait à cet adware de scruter également le surf fait en HTTPS.
Cette intrusion dans la vie privée des utilisateurs n’est déjà pas très éthique. Elle est d’autant moins éthique que la solution mise en place était particulièrement vulnérable. Il n’a en effet fallu que très peu de temps pour que le mot de passe de l’autorité de certification circule sur internet, court-circuitant ainsi la sécurité de toutes les machines équipées de SuperFish.
En fait, en utilisant le mot de passe qui circule et le système des certificats mis en place par SuperFish, une personne malintentionnée peut parfaitement intercepter tout ce que fait l’utilisateur, même prendre le contrôle de sa machine.
En raison de la polémique suscitée par cette affaire, Lenovo a dû présenter ses excuses publiques, mais aussi proposer des outils de nettoyage de SuperFish.
Mais tant que tous les possesseurs d’ordinateurs Lenovo n’auront pas procédé à ce grand nettoyage, la menace sera toujours présente.
