Promotion : achetez un ordinateur portable et portez un toast aux logiciels malveillants. C’est du moins ce qui s’est passé avec certains modèles de PC Lenovo. Depuis l’année dernière, de nouveaux propriétaires d’ordinateurs du fabricant chinois ont signalé que les machines sont équipées d’un logiciel publicitaire inoffensif appelé Superfish, qui affecte les résultats de recherche et rend les utilisateurs vulnérables aux attaques sur les sites HTTPS.
L’histoire a commencé à trouver un bon écho aux premières heures de ce jeudi (19). Le premier symptôme de Superfish semble inoffensif (bien que non acceptable) : le logiciel publicitaire injecte des annonces de tiers dans les résultats de recherche Google et d’autres sites, le tout sans l’autorisation de l’utilisateur.
Selon The Next Web, les annonces dirigent l’utilisateur vers les magasins en ligne. Les liens ont probablement un code d’affiliation, qui génère une commission pour l’entreprise responsable du malware.
Un administrateur du forum de discussion Lenovo s’est présenté en janvier. Selon Mark Hopkins, directeur des médias sociaux de Lenovo, “Superfish n’est fourni qu’avec les produits de consommation Lenovo et est une technologie qui aide les utilisateurs à trouver et à découvrir les produits visuellement”. D’après les rapports des utilisateurs, Superfish semble fonctionner dans Chrome et Internet Explorer, mais pas dans Firefox.
Mais le plus gros problème est apparu quelques heures plus tard : des chercheurs en sécurité ont découvert que Superfish installait un certificat HTTPS auto-signé qui peut intercepter le trafic de n’importe quel site “sécurisé”. Le fameux cadenas de sécurité est généralement affiché sur ces pages, mais un coup d’œil aux détails du certificat montre qu’il a été signé par Superfish lui-même.
Le chercheur Chris Palmer a déclaré à Ars Technica que tous les sites HTTPS protégés par le TLS qu’il a visités contenaient le certificat fajuto, comme celui de la Bank of America (le certificat aurait dû être émis par VeriSign). Pour faire les tests, Palmer a acheté un ordinateur portable Lenovo Yoga 2 Pro tout neuf pour 600 euros dans un magasin Best Buy de San Francisco, qui était livré avec le Superfish préinstallé.
Quelques heures après la controverse, Lenovo a informé la BBC qu’il avait retiré le logiciel publicitaire Superfish des nouveaux ordinateurs et désactivé les installations existantes. Oups.
Tout cela est plus une raison pour vous de jeter Windows plein d’applications inutiles des fabricants et de faire une installation propre lors de l’achat d’un nouveau PC.
