La Federal Trade Commission a annoncé mardi qu'elle a trouvé un arrangement avec Lenovo, spécialiste de l'électronique basé à Beijing, sur trois infractions à la vie privée des clients.Dans sa plainte, la FTC a assuré que depuis août 2014, Lenovo a commencé à vendre des ordinateurs portables aux États-Unis qui embarquaient un logiciel préinstallé de type « man-in-the-middle » appelé VisualDiscovery. Ce dernier interfère dans la façon dont le navigateur d'un utilisateur interagit avec les sites Web et crée de sérieuses vulnérabilités de sécurité.
« Lenovo a compromis la confidentialité des consommateurs lorsqu'il a préchargé un logiciel qui pourrait accéder aux informations sensibles des consommateurs sans un avis adéquat ou un consentement à son utilisation », a déclaré Maureen K. Ohlhausen, présidente de la FTC. « Cette conduite est encore plus grave parce que le logiciel a compromis les protections de sécurité en ligne auxquelles les consommateurs dépendent. »
Le logiciel VisualDiscovery, développé par une société appelée Superfish, inc. a été installé sur des centaines de milliers d'ordinateurs portables Lenovo. Il lançait des annonces de type pop-up des partenaires commerciaux de l'entreprise chaque fois que le curseur d'un utilisateur pointait sur un produit concurrent sur un site.
Pour diffuser ses publicités, VisualDiscovery a agi comme un « man-in-the-middle » entre les navigateurs des consommateurs et les sites Web qu'ils ont visités, même les sites qui se servaient de HTTPS. Sans que le consommateur ne soit au courant ou ne donne son accord, cette technique a permis à VisualDiscovery d'accéder à toutes les informations personnelles confidentielles des consommateurs transmises sur Internet, y compris les informations d'identification de connexion, les numéros de sécurité sociale, les informations médicales et les informations financières et de paiement . Alors que VisualDiscovery a recueilli et transmis aux serveurs de Superfish des informations plus limitées telles que les sites Web visités par l'utilisateur et l'adresse IP du consommateur, Superfish disposait de la capacité de collecter plus d'informations.
Selon la plainte, pour faciliter l'affichage des annonces pop-up sur les sites en HTTPS, VisualDiscovery a utilisé une méthode non sécurisée afin de remplacer les certificats numériques de ces sites Web par ses propres certificats signés VisualDiscovery . Rappelons que les certificats numériques sont utilisés pour indiquer au navigateur d'un utilisateur que les sites chiffrés visités par un consommateur sont authentiques.
VisualDiscovery, cependant, n'a pas correctement vérifié que les certificats numériques des sites Web étaient valides avant de les remplacer et utilisaient le même mot de passe sur tous les ordinateurs portables concernés au lieu de se servir de mots de passe uniques pour chaque ordinateur portable.
En raison de ces vulnérabilités de sécurité, les navigateurs des consommateurs ne pouvaient pas alerter les utilisateurs lorsqu'ils ont visité des sites potentiellement factices ou malveillants avec des certificats numériques non valides. Les vulnérabilités ont également permis aux attaquants potentiels d'intercepter les communications électroniques des consommateurs avec n'importe quel site Web, y compris les institutions financières et les fournisseurs médicaux, en entrant simplement le mot de passe préenregistré. La plainte allègue que Lenovo n'a pas découvert ces vulnérabilités de sécurité, car elle a échoué à évaluer et à résoudre les risques de sécurité créés par un logiciel tiers qu'il a préchargé sur ses ordinateurs portables.
Dans le cadre du règlement avec la FTC, Lenovo est interdit de mal présenter toutes fonctionnalités, logiciels préchargés sur les ordinateurs portables qui injectent des publicités durant les séances de navigation Internet des consommateurs ou transmettent des informations sensibles des consommateurs à des tiers. La société doit également obtenir le consentement des consommateurs avant de préinstaller ce type de logiciel. En outre, sur une durée de 20 ans, la société devra mettre en place un programme complet de sécurité logicielle pour la plupart des logiciels consommateurs préchargés sur ses ordinateurs portables. Le programme de sécurité sera également soumis à des vérifications par des tiers.
Source : FTC
Et vous ?
Qu'en pensez-vous ? 
