LE CONSTRUCTEUR CHINOIS ET GÉANT DE L’INFORMATIQUE LENOVO A CONCLU UN ACCORD AVEC LA FEDERAL TRADE COMMISSION POUR METTRE FIN AUX POURSUITES ENTAMÉES PAR CELLES-CI CONCERNANT L’AFFAIRE « SUPERFISH ».

Mardi 5 septembre – Conférence de presse de la Federal Trade Commission

Lors d’une conférence de presse, Mme Maureen K. Ohlhausen (présidente faisant fonction) déclarait que Lenovo Inc., l’un des plus gros fabricants d’ordinateurs, avait accepté de régler à l’amiable l’affaire dite Superfish, devant la FTC et 32 procureurs d’État; reconnaissant que la société avait mis en danger la sécurité des utilisateurs en préinstallant le logiciel VisualDiscovery sur un certain nombre d’ordinateurs portables.

L’affaire avait débuté en août 2014 quand Lenovo avait commencé à vendre des laptops aux États-Unis qui étaient livrés avec une version préinstallée d’un logiciel appelé VisualDiscovery qui possédait toutes les propriétés d’un proxy de type man-in-the-middle (l’homme au milieu).  Ce logiciel était édité par la société Superfish, qui donnera son nom à l’affaire.

En quoi ce logiciel menaçait-il la sécurité ?

Lorsque vous vous connectez à un site sécurisé, disons votre banque, vous le faites via le protocole HTTPS signalé par un petit cadenas dans la barre de votre navigateur.

Dès cet instant, toutes les communications entre votre navigateur et le serveur de la banque passeront « sous tunnel », elles seront encryptées point à point et ne pourront en aucune façon être interceptées en chemin.  C’est bien le moins, vous en conviendrez.

Le logiciel VisualDiscovery, quant à lui, était un adware destiné à vous faire « manger » un maximum de publicités contextualisées, et pour les adapter au contexte, justement, il interceptait les communications entre le client et les sites qu’il visitait.   Mais dans ce cas précis, cela allait beaucoup plus loin puisque le programme était en mesure d’intercepter également les communications sécurisées, et c’est là qu’il a allègrement franchi les limites de la légalité !

Comment cela est-il possible ?

Quand vous vous connectez à votre banque, la communication étant sécurisée, votre navigateur va s’assurer que le certificat du serveur auquel il se connecte correspond bien au propriétaire du domaine, par exemple ing.be.  Le Spyware préinstallé jouissait quant à lui d’un atout de taille : il venait avec un certificat «root» préinstallé, une autorité de certification, en somme.

Ainsi, quand l’utilisateur souhaitait par exemple se connecter à ing.be, le maliciel (il faut bien l’appeler ainsi) créait à la volée un certificat qu’il signait avec sa propre autorité de certification, interceptait les données, opérait la véritable requête pour l’internaute auprès du serveur (ing.be), puis au retour interceptait à nouveau les données et les transmettait (possiblement avec ses propres publicités contextualisées) à l’internaute.  C’est ce qu’on appelle un proxy, avec ceci de particulier que c’est un proxy HTTPS.

On peut difficilement faire pire en termes d’éthique et c’est là sans doute qu’il faut chercher la raison pour laquelle Lenovo a préféré payer 3,5 millions de dollars que de risquer d’aller au procès.

Fin de l’affaire ?

Non, pas vraiment, Lenovo a juste réussi à stopper les poursuites entamées à son encontre qui auraient pu mener à un procès retentissant aux États-Unis, mais au prix de reconnaître explicitement sa responsabilité dans cette affaire.

Il n’est nullement exclu que la Commission Européenne ou des particuliers puissent à leur tour, sur cette base, intenter des procès et réclamer des dommages-intérêts au géant chinois pour violation délibérée du droit à la vie privée et mise en danger d’intérêts, voire de personnes.

Parce qu’en Europe aussi, le logiciel a été installé sur des laptops vendus par Lenovo, je le sais pour l’avoir désinstallé manu militari de 3 laptops haut de gamme modèle Yoga 2 Pro que j’avais commandés dans le cadre de mon boulot.

Par Philippe Huysmans | 6 Septembre 2017