Accueil » Actualité » Un adware installé sur les PC Lenovo compromet les connexions sécurisées

Un adware installé sur les PC Lenovo compromet les connexions sécurisées

Image 1 : Un adware installé sur les PC Lenovo compromet les connexions sécuriséesIl est courant que les ordinateurs de marque intègrent de nombreux logiciels préinstallés, assez souvent inutiles pour l’utilisateur, mais qui sont le fruit d’un partenariat – parfois rémunéré – entre le constructeur et un ou plusieurs éditeurs de logiciels. Lenovo vient de franchir une étape dans la course aux « crapwares » en intégrant depuis quelques mois à ses ordinateurs un petit logiciel baptisé Superfish Visual Discovery.

Celui-ci, préinstallé d’usine, est chargé d’insérer de la publicité dans le navigateur Internet (Internet Explorer, Chrome ou Firefox). Inutile de dire qu’il s’agit là d’une source de revenus complémentaires pour Lenovo, et une source d’ennuis pour les utilisateurs. Car si l’installation de Superfish peut être annulée lors du premier démarrage de l’ordinateur, peu de personnes font attention à la petite case qu’il faut décocher…

Plus inquiétant, certains utilisateurs se seraient plaint que Superfish utilise un certificat root auto-signé, ce qui lui permettrait d’intercepter des connexions SSL/TLS sécurisées (sauf avec Firefox), comme par exemple lorsque l’on consulte ses comptes bancaires en ligne. En d’autres termes, Superfish est capable de remplacer le certificat habituel du site visité par son propre certificat, collectant au passage des données censées être cryptées.

« Et ce n’est pas fini ! » : Chris Palmer, chercheur en sécurité chez Google, s’est penché sur le problème de Superfish et a découvert que le certificat de ce logiciel utilisait la même clé sur tous les PC Lenovo. En pratique, cela pourrait permettre à des personnes malintentionnées de créer de faux sites HTTPS que les utilisateurs ne pourraient pas détecter comme tels.

Enfin, et c’est un peu la cerise sur le gâteau, s’il est possible de désinstaller Superfish des ordinateurs Lenovo, son certificat auto-signé doit quant à lui être effacé manuellement. Bref, sortez le popcorn…