Lenovo a commis une grave erreur en 2014 en préinstallant un logiciel publicitaire appelé “Superfish” sur ses ordinateurs portables grand public. Il a injecté des publicités dans des sites web, installé un certificat HTTPS qui pouvait intercepter le trafic de sites web sécurisés, et c’était l’enfer à supprimer.
Aujourd’hui, trois ans plus tard, Lenovo a conclu un accord à l’amiable avec la FTC concernant cette affaire. Elle paiera une amende de 3,5 millions de euros) et ses logiciels seront soumis à des audits de sécurité au cours des 20 prochaines années. En outre, elle devra obtenir l’autorisation expresse des utilisateurs pour tout futur logiciel sur ses PC.
Entre septembre 2014 et janvier 2015, Lenovo a commencé à vendre des ordinateurs portables aux États-Unis avec VisualDiscovery, développé par Superfish, Inc. Il s’agissait d’une attaque “man-in-the-middle” entre le navigateur de l’utilisateur et les sites qu’il visitait, même s’ils étaient cryptés.
Autrement dit, ce logiciel publicitaire a pu accéder à des informations sensibles telles que le nom d’utilisateur, le mot de passe, les données médicales et les références bancaires. “Lenovo a compromis la vie privée des consommateurs lorsqu’elle a préinstallé des logiciels qui pouvaient accéder à des informations sensibles sans préavis ni consentement à leur utilisation”, a déclaré la présidente de la FTC, Maureen K. Ohlhausen.
Début 2015, Lenovo a cessé d’intégrer Superfish dans ses PC et a mis au point un outil pour le supprimer. Microsoft a même mis à jour Windows Defender à l’époque pour tuer définitivement ce logiciel publicitaire. Le fabricant déclare qu’il “n’est pas d’accord avec les allégations contenues dans ces plaintes” de la FTC, mais il est heureux de clore l’affaire.