Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Superfish : Lenovo réitère ses excuses
Et annonce un « plan concret » pour sauver son image

Le , par Michael Guilloux

32PARTAGES

0  0 
Lenovo essaie de remettre de l'ordre dans la maison après le passage de la tornade Superfish. Le fabricant N°1 de PC vient encore une fois de présenter ses excuses à ses clients, sans oublier de présenter tous les efforts qu'il fait pour éliminer toute exposition liée à l'adware Superfish.

Pour rappel, depuis septembre 2014, Lenovo a commencé à livrer le logiciel publicitaire Superfish avec ses PC grand public. Contrairement aux résultats attendus, l'adware n'a servi qu'à détériorer l'expérience des utilisateurs.

En effet, en plus d'injecter des annonces publicitaires indésirables dans les pages web visitées par les utilisateurs sans leur consentement, Superfish pourrait favoriser les attaques de l'homme du milieu, permettant ainsi à un tiers d'intercepter les données de navigation des utilisateurs.

Par ailleurs, le programme utilise un certificat autosigné qui lui permet de s'exécuter même lors des connexions sécurisées et espionner les communications chiffrées des utilisateurs. Ce certificat est en plus susceptible d'être exploité par un autre programme malveillant, après que l'adware ait été supprimé par l'utilisateur.

La situation va de mal en pis lorsqu'un expert en sécurité informatique parvient à déchiffrer la clé privée de Superfish avant de la publier sur le net. Cela implique, dès lors, qu'un tiers malveillant pourrait intercepter les communications chiffrées des utilisateurs de PC avec Superfish.


Face à ce problème qui a suscité de sévères critiques, le fabricant de PC a entrepris plusieurs actions pour réparer les dégâts.

La semaine dernière, l'entreprise a résolu d'abandonner l'installation de l'adware sur les PC sortants. Elle a par ailleurs défini une solution manuelle de désinstallation du logiciel publicitaire, avant de proposer un outil de désinstallation automatique juste avant le weekend.

Lenovo a aussi travaillé avec des partenaires comme Microsoft, McAfee et Symantec pour livrer des mises à jour de sécurité visant à supprimer l'adware. Cela signifie que les utilisateurs des produits de ces différentes entreprises seront automatiquement protégés après mise à jour de leurs logiciels.

Lenovo précise aussi que tous les PC conçus avec Superfish qui sont encore en stock seront aussi protégés. « Peu de temps après que le système est en marche, le programme antivirus va lancer une analyse puis retirer Superfish du système. Pour les systèmes qui sont réimagés à partir de la partition de sauvegarde sur le disque dur, Superfish sera également retiré de la même manière », a écrit Peter Hortensius, le CTO de Lenovo dans une lettre ouverte.

Hortensius annonce par ailleurs que son entreprise élabore actuellement « un plan concret » pour attaquer les vulnérabilités de logiciel. Les actions du plan seront partagées d'ici la fin de la semaine. Mais globalement, l’entreprise envisage, entre autres actions, de « créer une image de PC plus propre », en ce qui concerne l’OS et les logiciels préinstallés. Elle prévoit également de solliciter et prendre en compte les critiques, même les plus sévères dans l'évaluation de ses produits qui sortent.

Source : Lenovo News

Que pensez-vous des actions et résolutions de Lenovo ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de RyzenOC
Inactif https://www.developpez.com
Le 02/03/2015 à 16:23
Par ailleurs, la firme a décidé d’offrir aux utilisateurs affectés par Superfish un abonnement de six mois gratuit au service McAfee LiveSafe, ou une prolongation de six mois pour les abonnés existants.
Très jolie cadeau...

Il s’agit ici des logiciels qui sont nécessaires pour faire fonctionner correctement l’ordinateur (comme un appareil photo 3D), les logiciels de sécurité et les applications Lenovo. « Cela devrait éliminer ce que l’industrie appelle “adware” et “bloatware” », ajoute le constructeur.
Quelle logiciels a ton besoin pour faire fonctionner correctement l'ordinateur ? a par l'os et les pilotes je vois pas... .
Windows8 intègre déjà un antivirus, reconnaît très bien les ports USB/batterie et co, donc les programmes style Lenovo SHAREit, Message Center Plus ou encore SalesPlus, sa sert a rien a part pourrir l'expérience utilisateur si importante pour eux.

comme un appareil photo 3D
Sa c'est un exemple pertinent, je parie que 0% des utilisateurs Lenovo ont un appareil photo 3D
3  1 
Avatar de 10_GOTO_10
Membre expérimenté https://www.developpez.com
Le 28/02/2015 à 1:04
J'ai un portable LENOVO, donc cette histoire m'a amené à m'intéresser aux certificats de mon navigateur sur cet ordi.

La bonne nouvelle, c'est que je n'ai pas trouvé de gros poisson, mais... Tous les certificats de tous les sites https sont signés Avast !

Après quelques recherches, j'ai trouvé l'explication ici:

http://security.stackexchange.com/questions/73476/why-is-avast-web-mail-shield-root-listed-as-ca-for-google-com

Donc mon antivirus fonctionne comme un Man In The Middle pour toutes mes connexions sécurisées. C'est pour mon bien, me dit-on, pour arrêter les virus qui seraient sur un site https avant qu'ils n'arrivent sur mon disque dur. Bon. Ca m'interpelle quand même pour deux raisons:

1) ça veut dire que mon anti-virus voit passer en clair tous les échanges que je pensais pouvoir être lus uniquement par moi et par le serveur distant. Il faut quand même avoir sacrément confiance en l'éditeur de l'antivirus. C'est fabriqué par qui, déjà, Avast ?

2) Si je comprends bien le fonctionnement, mon navigateur chiffre la connexion avec le certificat Avast, l'antivirus la déchiffre, l'analyse, et la re-chiffre avec le certificat du site https consulté. Mais mais mais... Donc ça veut dire que la clé privée de ce certificat est quelque part dans mon ordi ? Bien planquée, j'imagine (et j'espère), mais elle est là. Et donc, qu'en analysant un peu le programme, quelqu'un de motivé doit pouvoir la retrouver (je ne connais pas beaucoup de protections locales qui résistent à l'analyse de spécialistes). Par conséquent, quelqu'un ayant la clé privée peut à son tour jouer au Man In The Middle avec tous les ordinateurs ayant Avast ?

Je ne suis pas un spécialiste des certificats, il est possible que je comprenne un truc de travers. Mais ça m'intéresserait d'avoir l'avis d'un expert. En attendant, j'ai désactivé l'option dans mon antivirus.

PS: je parle ici d'Avast parce que c'est celui qui est installé sur mon ordinateur, mais il est probable que d'autres anti-virus fonctionnent de la même façon, je ne voudrais pas accuser un antivirus particulier.

[edit] Je n'avais pas vu le lien en bas de page, qui modère un peu mon propos:

https://security.stackexchange.com/questions/82285/are-the-certificates-from-skype-click-to-call-and-avast-web-mail-shield-any/82306?noredirect=1#comment136075_82306

En fait il semblerait qu'un certificat unique soit généré sur chaque ordinateur, à chaque installation. Dans les commentaires, certains sont quand même un peu sceptiques. Moi de même.
1  0 
Avatar de DarkBakura
Membre actif https://www.developpez.com
Le 02/03/2015 à 16:35
Eh bien, il faut croire que Lenovo a particulièrement tremblé pour faire toutes ces belles promesses. Sur le papier, c'est tout de même appréciable et donnerait même envie de se fournir chez eux si cela permet d'avoir dès l'achat une machine "propre".

Reste qu'il est dommage que ce genre de comportement ne survienne qu'après avoir été aussi sournois avec "l'affaire Superfish". Et surtout, il faudra voir si ces belles promesses se traduisent de manière concrète sur les futures machines, même si comme beaucoup l'ont souligné au moment où l'histoire a été révélée au grand jour, il serait un peu facile que Lenovo s'en tire avec de simples excuses et un changement (indispensable) de politique.

Pour l'antivirus par contre, c'est tout sauf un cadeau.
1  0 
Avatar de macslan
Membre éclairé https://www.developpez.com
Le 02/03/2015 à 22:13
Citation Envoyé par Hinault Romaric  Voir le message
Superfish : Lenovo promet des PC « plus propres et plus surs »[/SIZE][/B]
[B][SIZE="1"]sans adware et bloatware

Plus propres et plus surs
ou + propres et + surs
la est toute la question
1  0 
Avatar de yoyo3d
Membre éprouvé https://www.developpez.com
Le 06/09/2017 à 11:56
Lenovo est interdit de mal présenter toutes fonctionnalités, logiciels préchargés sur les ordinateurs portables qui injectent des publicités durant les séances de navigation Internet des consommateurs ou transmettent des informations sensibles des consommateurs à des tiers
il va falloir être beaucoup plus précis sur la définition de "Mal présenter" et surtout sur les "sanctions" encourues en cas de récidive avérée car sinon... Lenovo va continuer de pourrir les config avec leur conneries.... et se faire de la tune avec leur contrat de Pub
1  0 
Avatar de nchal
Membre expérimenté https://www.developpez.com
Le 06/09/2017 à 16:17
Ou alors, on leur fout le feu à tous ces cons de bloatware company (HP, Lenovo, Vaio,...).

Pour moi, il n'y a que 3 marque d'ordi:

1) ACER : Pas bien, pas cher
2) ASUS : Bien, cher
3) DELL : j'aime juste bien, je trouve ça clean
1  0 
Avatar de
https://www.developpez.com
Le 25/02/2015 à 18:27
Au moins il y a eu une réaction de cette manufacture face à des exigences. Elle a simplement retiré se qui ne plaisait pas. Le temps dira si les choses vont en s'améliorant.
0  0 
Avatar de earhater
Membre éclairé https://www.developpez.com
Le 25/02/2015 à 19:10
Après ils font des bons PC quand on veut du pas cher, mais c'est vrai qu'il y a un type en costard qui s'est pointé en se disant "hey les gars, si on faisait du revenus avec de pubs préinstallée ?" à partir de là le développement foireux du logiciel (adware) qui a engendré ces soucis de sécurité en sont la cause. D'ailleurs ça peut ouvrir le débat à toute ces merdes installées par défaut non ? Je veux bien que Microsoft mette une version d'essai de sa suite office par exemple mais tout les truc genre [insérer une marque de pc ici] media center ou conneries du genre ça me gonfle
0  0 
Avatar de NSKis
En attente de confirmation mail https://www.developpez.com
Le 25/02/2015 à 19:22
Citation Envoyé par marsupial Voir le message
Bonjour,

Lenovo a la place de numéro 1 mondial en vente de PC. De plus il est chinois depuis quelques années maintenant ( une dizaine ). Ainsi il fournit de nombreuses entreprises à travers le monde.

- personne n'osera se facher ouvertement avec la Chine
Si les clients de Lenovo ne sont pas trop c..s, la solution est simple: Ne plus se fournir chez Lenovo! Ils ne seront dès lors plus longtemps le numéro 1 mondial du PC et ils retrouveront, peut-être, la page du dictionnaire mandarin qui donne la définition des mots "Ethique" et "Respect du client"
0  0 
Avatar de hdgetnet
Membre averti https://www.developpez.com
Le 03/03/2015 à 13:53
un proverbe chinois dit
qui pisse contre le vent, mouille ces chaussures
0  0