Un client de Lenovo aux États-Unis intente un recours collectif contre lui pour atteinte à la vie privée et tricherie.
Bien que Lenovo ait publiquement admis son erreur de préinstallation délibérée du « logiciel publicitaire Man-in-the-Middle (MiTm) Superfish » sur ses appareils autres que ThinkPad, Jessica N. Bennet ne pense pas que cela soit suffisant et a déposé un recours collectif. poursuite contre le géant chinois de la technologie devant un tribunal américain pour atteinte à la vie privée et à la confiance.
Seulement, la semaine dernière, Marc Rogers, utilisateur de Lenovo et chercheur en sécurité, a mis à jour son blog avec l'analyse détaillée du logiciel publicitaire Superfish MiTm sur les modèles de Lenovo tels que les séries G, U, Y, Z, S, Flex, Miix, Yoga. et série E. Cela a suscité une vive réaction de la part des clients qui utilisaient les modèles Lenovo pour la plupart de leurs activités professionnelles.
Plus tard dans la journée, Lenovo a admis avoir préinstallé le logiciel publicitaire Superfish, mais uniquement pour aider ses clients à trouver des produits similaires à un prix inférieur. Cependant, les utilisateurs de Lenovo étaient toujours agités car le logiciel publicitaire Superfish donnait à Lenovo et à ses partenaires marketing un accès facile à leurs informations de navigation et il s'agissait d'une attaque de l'homme du milieu HTTPS.
Face à une avalanche de critiques, Lenovo a finalement reconnu son erreur et a également publié unsuppression de Superfish open sourceoutil pour désinstaller ce logiciel publicitaire et supprimer le certificat racine HTTPS qui collectait en fait les données de tous les sites Web visités par l’utilisateur.
Alors que le barrage de plaintes et d'abus contre Lenovo s'est atténué, Jessica N. Bennett, résidente de Californie, ne pense pas que cela soit suffisant et Lenovo devrait payer davantage pour l'invasion de sa vie privée et l'abus de confiance.
Jessica a déposé un recours collectif contre cette fraude de Lenovo et Superfish devant le tribunal de district américain du district sud de Californie. Selon la plainte de Jessica, le logiciel publicitaire Superfish préinstallé qu'elle a qualifié de « logiciel espion » a endommagé son ordinateur portable. Elle a également accusé Lenovo et Superfish de l'espionner et d'utiliser ses habitudes de navigation pour gagner de l'argent.
Le procès accuse les deux entreprises de leurs pratiques commerciales de « fraude » en préchargeant le logiciel publicitaire qui a rendu les PC Lenovo vulnérables aux attaques malveillantes. Bennett, avait acheté un ordinateur portable Yoga 2 à des fins professionnelles et elle a trouvé des publicités indésirables sur le site Web de son client lorsqu'elle a écrit un article de blog pour son client. Sa première réaction a été que son ordinateur portable avait été piraté, mais après une enquête détaillée, elle a pu découvrir qu'il s'agissait du logiciel publicitaire Superfish qui intercepte le trafic crypté pour chaque site Web visité par un utilisateur et laisse ainsi l'ordinateur vulnérable aux attaques. Elle a également accusé le logiciel malveillant d'utiliser la bande passante Internet et de ralentir son PC en utilisant les ressources mémoire uniquement pour gagner de l'argent.
Le logiciel publicitaire Superfish est essentiellement un certificat HTTPS racine auto-signé installé pour obtenir les données de tous les sites Web visités par les utilisateurs. De ce fait, les machines Lenovo sont vulnérables aux attaquants qui pourraient potentiellement utiliser le certificat pour créer de faux sites Web HTTPS que les machines Lenovo n'ont pas pu détecter. Ainsi, tout pirate informatique peut facilement voler les données personnelles de l'utilisateur telles que les détails de la carte de crédit, etc. argent illicite. Cela peut être qualifié de « surveillance à distance de l'activité Web de l'utilisateur Lenovo ». Lenovo a déclaré avoir arrêté l'installation du logiciel publicitaire Superfish depuis janvier 2015 en raison de certaines plaintes de ses clients concernant des interférences avec des publicités contextuelles dans leur navigateur, mais ils n'avaient aucune idée de la vulnérabilité de sécurité.
Superfish a quelque chose de différent à dire, ils insistent sur le fait que le logiciel est sûr, mais le problème de sécurité a été involontairement introduit par un tiers qui est maintenant identifié comme Kamodia. Komodia est une startup technologique basée en Israël qui fabrique des logiciels pour d'autres sociétés, notamment des outils pour les entreprises qui diffusent des publicités en ligne et pour des programmes que les parents peuvent utiliser pour surveiller la navigation sur le Web de leurs enfants. L'outil Komodia pourrait mettre en péril toute entreprise ou programme utilisant le même code. "Il n'y a pas que Superfish, d'autres sociétés peuvent être vulnérables", a déclaré Robert Graham, PDG d'Errata Security.
Ars Technica a entre-temps signalé qu'il existe des dizaines d'autres applications vulnérables à des attaques similaires car elles utilisent la même méthode MiTm. En fait, l'une des applications a été classée comme cheval de Troie malveillant par Symantec et surnommée Trojan.Nurjax.
Il semble que la saga des logiciels publicitaires Superfish laissera Lenovo pêcher dans une mer profonde et sans fond.
