Accusé d’avoir préinstallé le logiciel espion Superfish sur certains de ses ordinateurs, le fabricant chinois de PC a décidé de le retirer.
Cela fait maintenant plusieurs mois que les utilisateurs de PC Lenovo se plaignent de la présence de nombreuses publicités. Pour cause, la marque chinoise avait préinstallé un adware sur certaines de ses machines.
Baptisé Superfish, cet adware espionnait les habitudes de l’utilisateur pour lui proposer de la publicité supplémentaire.
Face à la polémique naissante, Lenovo a tout d’abord décidé de minimiser la gravité de l’affaire.
Mais face à la vindicte populaire et aux éditeurs de sécurité, Lenovo a finalement décidé de faire machine arrière en proposant une solution de désinstallation de Superfish.
Le plus grave dans cette histoire, c’est que Superfish installait son propre certificat de sécurité, ce qui lui permettait de surveiller en toute impunité les connexions chiffrées sous SSL, ce qui est bien évidemment une grosse faille de sécurité.
Robert Graham, CTO de la firme Errata Security, est d’ailleurs parvenu à extraire le certificat de Superfish et à craquer la clé privée associée, ce qui est une des étapes pour établie une attaque de type Man-in-the-middle synonyme de vol de données personnelles.
Dans son bulletin proposant la désinstallation de Superfish, Lenovo communique que les machines concernées sont les notebooks séries E, Flex, G, M, S, U, Y, Yoga et Z vendus entre septembre 2014 et février 2015.