Lenovo essaie de remettre de l'ordre dans la maison après le passage de la tornade Superfish. Le fabricant N°1 de PC vient encore une fois de présenter ses excuses à ses clients, sans oublier de présenter tous les efforts qu'il fait pour éliminer toute exposition liée à l'adware Superfish.Pour rappel, depuis septembre 2014, Lenovo a commencé à livrer le logiciel publicitaire Superfish avec ses PC grand public. Contrairement aux résultats attendus, l'adware n'a servi qu'à détériorer l'expérience des utilisateurs.
En effet, en plus d'injecter des annonces publicitaires indésirables dans les pages web visitées par les utilisateurs sans leur consentement, Superfish pourrait favoriser les attaques de l'homme du milieu, permettant ainsi à un tiers d'intercepter les données de navigation des utilisateurs.
Par ailleurs, le programme utilise un certificat autosigné qui lui permet de s'exécuter même lors des connexions sécurisées et espionner les communications chiffrées des utilisateurs. Ce certificat est en plus susceptible d'être exploité par un autre programme malveillant, après que l'adware ait été supprimé par l'utilisateur.
La situation va de mal en pis lorsqu'un expert en sécurité informatique parvient à déchiffrer la clé privée de Superfish avant de la publier sur le net. Cela implique, dès lors, qu'un tiers malveillant pourrait intercepter les communications chiffrées des utilisateurs de PC avec Superfish.
Face à ce problème qui a suscité de sévères critiques, le fabricant de PC a entrepris plusieurs actions pour réparer les dégâts.
La semaine dernière, l'entreprise a résolu d'abandonner l'installation de l'adware sur les PC sortants. Elle a par ailleurs défini une solution manuelle de désinstallation du logiciel publicitaire, avant de proposer un outil de désinstallation automatique juste avant le weekend.
Lenovo a aussi travaillé avec des partenaires comme Microsoft, McAfee et Symantec pour livrer des mises à jour de sécurité visant à supprimer l'adware. Cela signifie que les utilisateurs des produits de ces différentes entreprises seront automatiquement protégés après mise à jour de leurs logiciels.
Lenovo précise aussi que tous les PC conçus avec Superfish qui sont encore en stock seront aussi protégés. « Peu de temps après que le système est en marche, le programme antivirus va lancer une analyse puis retirer Superfish du système. Pour les systèmes qui sont réimagés à partir de la partition de sauvegarde sur le disque dur, Superfish sera également retiré de la même manière », a écrit Peter Hortensius, le CTO de Lenovo dans une lettre ouverte.
Hortensius annonce par ailleurs que son entreprise élabore actuellement « un plan concret » pour attaquer les vulnérabilités de logiciel. Les actions du plan seront partagées d'ici la fin de la semaine. Mais globalement, l’entreprise envisage, entre autres actions, de « créer une image de PC plus propre », en ce qui concerne l’OS et les logiciels préinstallés. Elle prévoit également de solliciter et prendre en compte les critiques, même les plus sévères dans l'évaluation de ses produits qui sortent.
Source : Lenovo News
Que pensez-vous des actions et résolutions de Lenovo ? 
Envoyé par Hinault Romaric
