Adware SuperFish : une amende de 3,5 millions de dollars pour Lenovo
Sans grande surprise
Le 06 septembre 2017 à 08h10
5 min
Droit
Droit
Début 2015 éclatait le scandale du logiciel VisualDiscovery de SuperFish, installé sur nombre de machines Lenovo. Amenant de vastes soucis potentiels de sécurité, il vient de provoquer une condamnation pour le constructeur, qui devra payer 3,5 millions de dollars et revoir ses méthodes.
Il s’agissait d’un petit logiciel que Lenovo installait sur certaines de ses gammes d’ordinateurs portables, au moins depuis 2014. Des centaines de milliers d’appareils accueillaient VisualDiscovery, destiné à présenter des publicités en fonction de l’activité de l’utilisateur. En clair, un adware.
Ce logiciel provenait de la société SuperFish et fut d’ailleurs surtout connu sous ce nom. Du côté de Lenovo, on se récriminait : aucun problème de fond avec SuperFish puisque les informations étaient contextuelles et devaient permettre aux utilisateurs de découvrir de nouveaux produits… donc toujours de la publicité. Le souci principal ne provenait cependant pas du fond, mais bien de la forme.
Un certificat cataclysmique
La solution retenue par SuperFish pour son VisualDiscovery était particulièrement dangereuse. Pour s’insérer partout et surveiller ce que l’utilisateur faisait en ligne, il installait un certificat racine dans Windows apte à réaliser ni plus ni moins que des attaques de l'homme du milieu (MITM).
Le certificat racine permettait ainsi à SuperFish de s’insérer dans toutes les connexions sécurisées (HTTPS) réalisées sous Internet Explorer et Chrome. À partir de là, le logiciel peut espionner toutes les activités en ligne dans le navigateur et servir d’autant plus efficacement des publicités. Si le problème n’était pas assez sérieux, ajoutons la cerise sur le gâteau : SuperFish utilisant la même clé de signature pour la totalité des machines.
Le danger était immense : il suffisait qu’un pirate récupère cette clé pour monter un serveur qui lui permettrait de récolter de très nombreuses informations personnelles, et ce sans que les internautes y puissent quoi que ce soit. Conscient tout à coup du risque, SuperFish avait proposé un patch désactivant la surveillance des connexions HTTPS. Mais le mal était déjà fait.
Lenovo condamné par la FTC
Le scandale VisualDiscovery avait entrainé de nombreux signalements à la Federal Trade Commission (FTC) américaine, qui avait alors pris les choses en main. Elle a rendu hier soir son verdict : Lenovo devra s’acquitter d’une amende de 3,5 millions de dollars et revoir en profondeur certaines méthodes. Le constructeur a accepté de payer la somme sans discuter.
Maureen Ohlhausen, commissaire et présidente de la FTC, résume ainsi l’avis de l’administration : « Lenovo a compromis la vie privée des consommateurs quand il a préchargé un logiciel pouvant accéder à des informations sensibles, sans la moindre notification adéquate ou demande de consentement. Une conduite d’autant plus grave que le logiciel compromettait la sécurité en ligne dont les utilisateurs ont besoin ».
La commission note également qu’à cause de la méthode radicale choisie par SuperFish, les navigateurs ne pouvaient plus avertir les internautes si des risques étaient détectés, notamment en cas de sites malveillants. Bien que Lenovo ne soit pas l’auteur du logiciel, la société s’est rendue coupable pour la FTC de ne pas avoir vérifié le fonctionnement d’un produit tiers qu’il livrait préinstallé avec ses machines.
Des méthodes à revoir
En plus des 3,5 millions de dollars, la FTC exige que le constructeur revoie très sérieusement sa manière de proposer des logiciels préinstallés. Lenovo avait en fait déjà réagi en annonçant qu’un processus complet de révision allait permettre un grand ménage. En clair, l’entreprise souhaitait revenir à un programme beaucoup plus sain : n’installer que le strict minimum en basculant dans le camp « anti-bloatware ».
Dans sa décision, la FTC n’en demande pas tant et se focalise sur trois points. D’une part, l’interdiction de déguiser des logiciels qui permettraient l’injection de publicités ou d’envoyer des informations personnelles vers un tiers. D’autre part, l’obligation d’avertir l’utilisateur et de recueillir son consentement pour utiliser de telles fonctionnalités.
Enfin, Lenovo doit bâtir pour les 20 prochaines années un programme complet de sécurité s’appliquant à l’ensemble des logiciels préchargés sur ses ordinateurs. Sur ce point, Lenovo a pris de l’avance. Cependant, la FTC prévient que le programme sera soumis à des audits extérieurs. Le constructeur devra donc être transparent sur les mesures adoptées sur les deux dernières années.
Lenovo grimace mais se dit heureuse d’en finir
Du côté de Lenovo, et comme le rapporte Reuters, on indique ne pas être d’accord avec toutes les « allégations contenues dans ces plaintes ». La société se dit toutefois « satisfaite d’en finir avec ce sujet après deux ans et demi » de procédure. Elle ajoute qu’à ce jour, aucun tiers ne semble avoir exploité les « communications de l’utilisateur » via ces « vulnérabilités ». Il s’agissait pourtant bien de ce qui était reproché à SuperFish.
On notera d’ailleurs que ce dernier n’a pas été inquiété. L’activité en elle-même est jugée dangereuse mais pas illégale à partir du moment où le consentement éclairé de l’utilisateur a été obtenu. Les reproches se concentraient donc sur Lenovo, qui a toute responsabilité sur l’intégration des logiciels dans ses machines.
Dans un communiqué séparé, la présidente de la FTC, Maureen Ohlhausen, note que cette affaire illustre un cas typique de déformation, à opposer au simple oubli d’information. Il est évident selon elle que Lenovo a cherché à tromper les utilisateurs en présentant VisualDiscovery comme un outil pratique du quotidien, pour masquer son véritable rôle d’adware.
Adware SuperFish : une amende de 3,5 millions de dollars pour Lenovo
-
Un certificat cataclysmique
-
Lenovo condamné par la FTC
-
Des méthodes à revoir
-
Lenovo grimace mais se dit heureuse d’en finir
Commentaires (19)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 06/09/2017 à 08h35
Dans un communiqué séparé, la présidente de la FTC, Maureen Ohlhausen, note que cette affaire illustre un cas typique de déformation, à opposer au simple oubli d’information.
Déformation anale du client dans ce cas précis." />
Le 06/09/2017 à 08h36
Je trouve l’amende bien petite vu l’ampleur du foutage de gueule.
J’aurais bien aimé un message obligatoire de la condanation sur l’index de leur site web.
Le 06/09/2017 à 08h39
Le 06/09/2017 à 08h41
Un point pour eux: contrairement aux autres, ils acceptent tout sans discuter. L’amende est ce qui coutera le moins cher.
Le 06/09/2017 à 08h41
Et que fait l’Europe ?
Le 06/09/2017 à 08h55
Le 06/09/2017 à 08h57
Le 06/09/2017 à 09h03
Le 06/09/2017 à 09h05
Le 06/09/2017 à 09h10
“Le constructeur a accepté de payer la somme sans discuter.”
Tu m’étonnes, pour un malware remontant à 2014, 3,5 millions sont pas chers payés.
“aucun tiers ne semble avoir exploité les « communications de l’utilisateur » via ces « vulnérabilités »”
Parce que bien évidemment ces tiers s’en vanteraient.
Le 06/09/2017 à 09h31
C’te blague, c’est un scandale
Le 06/09/2017 à 09h54
RDV dans 10 ans.
Le 06/09/2017 à 10h06
Même jour, même heure, même (back) door ? " />
Le 06/09/2017 à 12h07
Ce n’est pas la première fois que Lenovo s’est fait prendre la main dans le sac de malwares, en plus.
Le 06/09/2017 à 12h10
C’est peu
Le 06/09/2017 à 14h37
Des américains qui jugent des chinois sur de la surveillance ?
On croît rêver…
Le 06/09/2017 à 08h20
La question c’est de savoir si le super poisson de Lenovo à rapporté plus qu’il ne coute aujourd’hui ^^
Le 06/09/2017 à 08h24
Le 06/09/2017 à 08h25
De la pub hyper ciblé y’a moyen