Lenovo pris la main dans le sac à espionner et imposer de la publicité à ses clients (MAJ)

MAJ 17h : Lenovo a publié son mea culpa disponible ici, dans lequel il se contente de s'excuser mais ferme les yeux en minimisant l'impact de SuperFish. Il indique avoir arrêté la pré-installation en Janvier et aussi avoir coupé les serveurs liés à la publicité, toutefois rien n'est indiqué par rapport au certificat root et l'énorme faille qu'il rajoute dans votre machine...Il y a également la procédure de désinstallation, qu'on vous conseille immédiatement de réaliser, et heureusement elle comporte la suppression du certificat moisi root !

On parle souvent des américains et des méthodes de la NSA qui espionnent la vie de Madame Michu, mais les Chinois chez Lenovo viennent de pousser la barre à un niveau encore supérieur avec l'affaire Superfish. On a tous utilisé un jour un PC (desktop ou portable) d'une marque qui était bourré de logiciels pré-installés, ralentissant la machine et s'avérant peu utiles. Des pratiques qui permettaient aux constructeurs de se faire des sous au détriment de l'utilisateur, ce qui a heureusement changé au fil des années, la justice ou encore Microsoft ne voyant d'ailleurs pas d'un bon oeil tous ces crapware installés. 

En effet, vous êtes certainement nombreux a avoir remarqué qu'on a généralement une machine neuve qui rame dès la première utilisation, et Windows n'ayant pas forcément eu par le passé une grande réputation, il était facile de mettre la faute sur l'OS. Bref, maintenant on a généralement une suite logicielle du constructeur lui même et c'est à peu près tout (même si cela suffit à alourdir la machine...). 

Lenovo a de son côté eu la bonne idée de pré-installer jusqu'à janvier un petit adware/spyware logiciel baptisé Superfish qui s'installe automatiquement lors du 1er lancement de la machine, à moins que vous n'ayez pensé à décocher l'option. Une fois installé, ce petit malin vous colle de la publicité dans votre navigateur et mieux encore, des pop-up peuvent aussi surgir. Et là où c'est encore plus magique, c'est qu'il embarquerait un certificat root auto-signé qui permettrait ainsi à Lenovo/SuperFish de déchiffrer tous vos flux et ainsi analyser ce que vous faites, de manière par exemple à vous cibler la pub qu'il vous colle. Pire encore comme le révèle Erratasec après quelques tests, la sécurité de votre machine est compromise car il vous devient impossible de faire confiance au HTTPS et aux certificats.

Les acheteurs de machines Lenovo seront donc heureux d'apprendre qu'on leur "impose" de la pub et que la firme pratique du Man In The Middle pour récupérer vos infos, trankilou ! On nous dit évidemment que c'est pour une meilleure expérience (bah bien sur...), et on ne saurait que vous conseiller d'être prudents à l'avenir si vous achetez une machine Lenovo, et également de vérifier si vous n'êtes pas déjà "infectés" ! (Source : Reddit & Forum Lenovo)