IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Superfish : Lenovo présente des excuses
Pour le trou de sécurité introduit dans ses ordinateurs portables

Le , par Hinault Romaric

23PARTAGES

2  0 
« Le scandale Superfish » a poussé le constructeur de PC chinois Lenovo a présenté des excuses publiques à ses clients, reconnaissance qu’il avait franchi la ligne rouge.

« Nous sommes désolés. Nous avons capoté. Nous le reconnaissons. », s’excuse la division américaine de Lenovo, qui promet de « veiller à ce que cela ne se reproduise plus », et rassure les utilisateurs que « Superfish sera complètement désinstallé. »

Superfish est un adware qui est préinstallé par défaut sur certains modèles d’ordinateurs grand public de Lenovo. Le programme injecte des annonces publicitaires dans les recherches Google et les sites Web, sans le consentement de l’utilisateur, quel que soit le navigateur utilisé par celui-ci.

Le fonctionnement de l’application ouvre une grande brèche de sécurité sur l’ordinateur d’un utilisateur, qui peut être exploité pour des attaques de type man-in-the-middle, même sur des communications sécurisées.

En effet, Superfish installe un certificat autosigné, un certificat racine avec des privilèges avancés, permettant au logiciel d’espionner les connexions sécurisées, exposant de ce fait les données sécurisées (opérations bancaires, accès aux mails, etc.) des utilisateurs à des attaques malveillantes.

La présence d’un tel certificat représente une bavure de sécurité importante pour des experts en sécurité informatique. Il n’y a aucune raison justifiant l’installation par Superfish de cette manière d’un certificat racine maison, réservé à des autorités de certification. Ce dernier, en effet, permet de remplacer celui des sites Web sécurisés, car il a un niveau de confiance plus élevé.




Pire, la clé privée a été livrée avec les ordinateurs et elle a d’ores et déjà été publiée en ligne par des experts en sécurité qui l’ont extraite. « J’ai extrait le certificat de l’adware SuperFish et j’ai déchiffré le mot de passe (Komödia). », écrit dans un billet de blog l’expert en sécurité informatique Robert Graham. « La conséquence est que je peux intercepter des communications chiffrées des victimes de Superfish. »

« Lenovo a non seulement injecté des annonces publicitaires d’une façon grotesque et inappropriée, mais a également conçu une catastrophe sécuritaire pour ses utilisateurs », s’est insurgé, l’ Electronic Frontier Foundation, défenseur de la vie privée en ligne.

Le problème semble donc grave. Mais, Lenovo tente de minimiser les conséquences, tout en essayant de dégager sa responsabilité, car il aurait été floué par un éditeur tiers à l’origine de Superfish.

« Dans notre effort pour améliorer l’expérience utilisateur, nous avons préinstallé un logiciel tiers sur certains de nos ordinateurs portables grand public », affirme l’entreprise dans un communiqué. « Nous avions pensé que le produit permettait d’améliorer l’expérience de shopping comme prévu par Superfish. Il ne répond pas à nos attentes et celles de nos clients. »

Lenovo rassure que le programme n’est plus préinstallé sur ses appareils depuis janvier, et les connexions au serveur permettant d’installer Superfish sur les récentes acquisitions ont été coupées. Le constructeur affirme enfin qu’il travaille avec Superfish et les autres partenaires industriels pour résoudre le problème de sécurité.

Lenovo a également publié un article qui guide les utilisateurs dans la suppression de Superfish et du certificat de sécurité. Une liste des modèles de PC qui sont affectés par l’adware a été publiée, dont voici un extrait :


G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
U Series: U330P, U430P, U330Touch, U430Touch, U530Touch
Y Series: Y430P, Y40-70, Y50-70
Z Series: Z40-75, Z50-75, Z40-70, Z50-70
S Series: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
MIIX Series: MIIX2-8, MIIX2-10, MIIX2-11
YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
E Series: E10-30
Source : Lenovo

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de nchal
Membre expérimenté https://www.developpez.com
Le 20/02/2015 à 15:19
Non mais j'ai l'impression que les lois ne compte que pour nous, petit prolo... Quand on voit que HSBC vont peut-être ne rien avoir (ou très peu) suite à la plus grande affaire de blanchiment d'argent oO Non mais vous comprenez, ils ont dit qu'ils étaient désolé... Ah bah mince, les mecs sont désolés, ils savaient pas et tout --'
Essaie de frauder 500 balles au fisc, tu vas danser un moment mais si tu fraudes 2-3 millions, ça passe. Comme on dit, plus c'est gros, plus ça passe...
10  0 
Avatar de air-dex
Membre expert https://www.developpez.com
Le 20/02/2015 à 20:35
Citation Envoyé par nchal Voir le message
Citation Envoyé par Chauve souris Voir le message
Je n'ai jamais aimé les portables. C'est ultra propriétaire et non démontable et c'est à jeter au moindre pépin technique. L'autonomie est dérisoire et la batterie chute rapidement à 50 % de sa capacité. En fait ils ne fonctionnent que sur le secteur. Le processeur est lamentable sinon il chaufferait trop. Ce qui n'empêche pas la CM de dégager au bout d'un an et demi (juste après la fin de la garantie). Et pour finir il y a un système installé, Windows en l'occurrence, dont on ne peut même pas changer de version en le réinstallant car tous les pilotes du système ne sont pas disponibles sur les sites des constructeurs (a contrario des fabricants de CM pour PC). Donc on peut leur installer un mouchard d'office, ça simplifiera le travail de la NSA.

Mais qu'est-ce que c'est bien d'avoir un portable ! On voit partout des pubs, pas spécialement de fabricants de portables au demeurant, des banques et autres avec des couples dégoulinants de bonheur, le portable sur les genoux assis sur le canapé du salon ou bien vautrés à plat ventre sur la moquette. Stéréotypes hyper rabâchés, mais ça marche, les gens n'achètent plus que ça, ça doit faire "jeune" alors que les PC fiables et évolutifs ça doit faire "vieux".
Tellement vrai. Le pire ce sont les gens qui ont un portable à 800€ (donc pas gaming et ni desktop, un genre d'hybride inutile, pas assez puissant pour les jeux et bcp trop puissant pour du word+facebook). Dans ma famille, je les force à prendre des bouses cosmiques à 300€ qui va leur permettre de faire de la bureautique au moins 5 ans (je passe chaque année avec anti-adware/malware/virus )
Tellement faux. Mais quel ramassis d'idioties. Portable ou tour, un PC reste un PC, un composant reste un composant et un OEM qui ne met pas à dispositions les drivers pour la dernière version de Windows reste un OEM qui ne met pas à dispositions les drivers pour la dernière version de Windows.

Contrairement à ce qui est sous-entendu un PC portable peut être fiable et durer dans le temps. Mon précédent PC portable a duré 5 ans et il peut encore faire le job si nécessaire. Son prix ? 800 € (un peu moins) ! L'avantage de cette gamme de prix est que l'on y trouve des appareils avec des (très) bonnes configurations qui restent encore largement acceptables des années après. On peut faire du gaming sur un laptop à 800 €.

Après tour ou portable est une autre question. Chacun son truc. Il y en a pour tous les goûts, tous les besoins et à toutes les tailles. Mais en aucun cas les portables ne sont des sous-PC.

Citation Envoyé par benjani13 Voir le message
D'un point de vue purement d'image et de communication, je ne comprend pas comment aujourd'hui des entreprises grand public peuvent encore mettre des backdoors/adwares. Il y a quand même de fortes chances que le "parasite" soit découvert (et encore plus ici vu que l'adware ajoute des publicités), et le grand public est bien plus sensible à cela qu'avant notamment avec l'affaire snowden. Même si les répercutions seront surement faible pour Lenovo, pour moi c'est se tirer une balle dans le pied.
Ce qui est incompréhensible c'est que cet adware soit aussi facilement détectable. D'un point de vue image, OSEF pour eux car "pas vu, pas pris". Sauf qu'avec une telle solution technique ils ne pouvaient qu'être pris la main dans le sac.
10  0 
Avatar de dolu02
Membre averti https://www.developpez.com
Le 20/02/2015 à 14:46
Citation Envoyé par Algo D.DN Voir le message
Il faut croire que les conséquences ont étés calculés et certainement estimés comme moindres au regard des bénéfices générés.
Ah ben oui, si il suffit qu'ils s'excusent et ne sont pas punis/sanctionnés par des lois, c'est sûr que le calcul est vite fait.
Car il me semble qu'un "petit" mettrait directement la clé sous la porte après pareil scandale.
8  0 
Avatar de a028762
Membre confirmé https://www.developpez.com
Le 20/02/2015 à 15:16
C'est "marrant" qu'un constructeur de l'empire du milieu favorise l'infection des pc par une attaque "man-in-the-middle".
Bon, je sors ...
Olivier
8  0 
Avatar de benjani13
Membre extrêmement actif https://www.developpez.com
Le 21/02/2015 à 12:01
Citation Envoyé par Chauve souris Voir le message
Y en a qui sont furax quand on dénigre leur jouets. Faudrait peut-être être adulte !
Tu es d'un ridicule...
9  1 
Avatar de ZenZiTone
Membre expert https://www.developpez.com
Le 20/02/2015 à 14:32
Citation Envoyé par benjani13 Voir le message
et le grand public est bien plus sensible à cela qu'avant notamment avec l'affaire snowden. Même si les répercutions seront surement faible pour Lenovo, pour moi c'est se tirer une balle dans le pied.
Le grand publique que je connais ne connais pas la marque de son PC, n'a jamais entendu parlé de Snowden et ne se doute pas que les pubs qui s'affiche sur ses pages web lui sont destinées.
6  1 
Avatar de air-dex
Membre expert https://www.developpez.com
Le 21/02/2015 à 20:07
Citation Envoyé par Shepard Voir le message
Si on parle d'une tour achetée montée, alors je suis d'accord avec toi ... Sinon pour moi il n'y a juste pas de comparaison entre un PC portable et une tour ...
Moi aussi. L'artisanal sera toujours bien meilleur que l'industriel, et ce n'est pas valable que pour les PCs. Celui qui s'y connait à fond comme notre cher Chauve souris saura quels composants prendre pour son PC et ainsi faire une machine de guerre de bien meilleure qualité que n'importe quel autre PC portable et même tour.

Citation Envoyé par Shepard Voir le message
Un PC portable qui dure 5 ans sans changer la batterie, et avec les super heat pipes impossibles à nettoyer, franchement j'ai du mal à y croire :/
Oui c'est sûr que si tu comptes le changement de batterie alors cela réduit la durée de vie du portable. Mais est-ce bien un problème si ladite batterie est amovible ?

Je suis aussi d'accord pour les "heat pipes". C'est ce qui m'a poussé à changer le mien (entre autres). Ca chauffait trop, au point de couper l'affichage en cas de trop forte activité. Quand tu ne peux plus aller sur Linux sans cooling pad, ça devient problématique. Après je plaide aussi coupable car j'aurais pu mieux entretenir le mien sur ce point.

Mais avec 5 ans sans pannes (sauf batterie et chargeur) pour un soi-disant "ACER à rien" à 700 € et adapté pour le gaming, on est bien loin de ce que Chauve souris veut bien nous dire.
4  0 
Avatar de benjani13
Membre extrêmement actif https://www.developpez.com
Le 20/02/2015 à 13:29
D'un point de vue purement d'image et de communication, je ne comprend pas comment aujourd'hui des entreprises grand public peuvent encore mettre des backdoors/adwares. Il y a quand même de fortes chances que le "parasite" soit découvert (et encore plus ici vu que l'adware ajoute des publicités), et le grand public est bien plus sensible à cela qu'avant notamment avec l'affaire snowden. Même si les répercutions seront surement faible pour Lenovo, pour moi c'est se tirer une balle dans le pied.
2  0 
Avatar de benjani13
Membre extrêmement actif https://www.developpez.com
Le 20/02/2015 à 15:01
Citation Envoyé par Algo D.DN Voir le message
Il faut croire que les conséquences ont étés calculés et certainement estimés comme moindres au regard des bénéfices générés.
Oui je pense que c'est tout à fait ça.

Citation Envoyé par ZenZiTone Voir le message
Le grand publique que je connais ne connais pas la marque de son PC, n'a jamais entendu parlé de Snowden et ne se doute pas que les pubs qui s'affiche sur ses pages web lui sont destinées.
Je n'ai pas dit que grand public était devenu des pros de l'informatique bien sur mais que les gens sont plus au courant qu'avant, du moins j'ai l'impression. Je vois de plus en plus d'articles sur les divers failles à grand bruit et scandales d'espionnage dans les fils de news généralistes.
2  0 
Avatar de Escapetiger
Expert éminent sénior https://www.developpez.com
Le 21/02/2015 à 13:18
... Comment bien débattre par Neckara
http://www.developpez.net/forums/d14.../bien-debattre
Comment bien débattre [Article]
2  0