Analystes: PC Lenovo livrés avec un logiciel qui affaiblit la sécurité

MIS À JOUR à 11h58 (heure du Pacifique) avec les commentaires de Lenovo.

Certains ordinateurs portables Lenovo sont livrés avec un logiciel qui, selon les analystes en sécurité, peut rendre les utilisateurs vulnérables aux attaques.

Superfish est ce que l’on appelle un adware, un logiciel qui génère des publicités sur l’écran de l’utilisateur. Il est conçu pour identifier les produits que les utilisateurs recherchent sur le Web, puis diffuser des publicités pour ces éléments. Mais les experts en sécurité disent que c'est le cas, en partie, en brisant le cryptage utilisé pour masquer les données lorsque les utilisateurs visitent des sites Web supposément sécurisés.

Selon Graham Cluley, chercheur en sécurité britannique, cela équivaut en réalité à un piratage "interceptant", interceptant ce qui devrait être une communication sécurisée, "afin que tous puissent afficher des publicités irritantes".

"Vous pariez que c'est mauvais", a écrit Cluley dans un article de blog. "Si vous avez Superfish sur votre ordinateur, vous ne pouvez vraiment plus faire confiance à des connexions sécurisées vers des sites."

Lenovo dit Superfish désactivé

Jeudi, on ignorait quels modèles d'ordinateurs Lenovo pourraient être affectés. Superfish a été installé entre septembre et décembre, a précisé la société.

Lenovo a annoncé avoir supprimé Superfish de ses nouveaux ordinateurs en janvier, que celui-ci ne sera plus inclus sur les nouveaux ordinateurs et que Superfish a désactivé le logiciel. Il ne fonctionnera donc plus, même s'il est installé.

Néanmoins, la société maintient que Superfish ne représente pas la menace que certains disent.

"Nous avons étudié de manière approfondie cette technologie et ne trouvons aucune preuve pour corroborer les inquiétudes en matière de sécurité", a déclaré Lenovo dans un communiqué. «Mais nous savons que les utilisateurs ont réagi à ce problème avec inquiétude. Nous avons donc pris des mesures directes pour empêcher l'envoi de produits contenant ce logiciel.

«Nous continuerons d'examiner ce que nous faisons et comment nous le faisons afin de veiller à ce que nous accordions la priorité aux besoins, à l'expérience et aux priorités de nos utilisateurs.»

Certains ordinateurs en ont clairement fait des magasins avec des versions actives du logiciel.

ArsTechnica a annoncé jeudi qu'un chercheur en sécurité avait acheté un Lenovo Yoga 2 Pro à 600 $ dans un magasin Best Buy de la région de San Francisco et avait "rapidement confirmé" l'installation de Superfish.

Cluley écrit cela, car Superfish remplace le certificat de sécurité des sites Web par l'un des siens. il serait «facile pour un autre acteur hostile d’en tirer parti et de compromettre davantage les connexions de l’utilisateur».

Se débarrasser du logiciel

Supprimer complètement le logiciel d'un ordinateur déjà acheté semble être une proposition délicate. En plus de désinstaller le logiciel, Cluley indique que les utilisateurs doivent supprimer ce qu’on appelle un «certificat racine».

Microsoft, dont le système d’exploitation Windows fonctionne sur les ordinateurs Lenovo, a publié un guide détaillé expliquant comment procéder. Il a également créé une liste des certificats racine approuvés sur différentes versions de Windows, afin que les utilisateurs puissent voir si quelque chose a été ajouté à leur insu.

L’approche la plus simple, bien que radicale, consiste à nettoyer le disque dur d’un ordinateur et à installer une nouvelle version de Windows ou d’un autre système d’exploitation.

«C’est une réponse brutale, mais c’est probablement la seule à laquelle vous pouvez totalement vous fier en ce moment», a écrit Cluly. «Il a fallu plus de six mois à la communauté de la sécurité pour constater ce que Lenovo faisait sur ses PC, qui sait s’il fait quelque chose de louche, aussi.»

Image via iStock