Contrairement à ce qu’avaient dit les commentateurs à l’époque, Microsoft s’est inspirée des méthodes du scandale Superfish de Lenovo pour obtenir le « consentement explicite » des utilisateurs et les forcer à installer Windows 10. Comme Lenovo, l’éditeur a détourné les codes couramment admis : un clic sur la croix de la fenêtre d’invite n’empêchait pas l’installation de Windows 10, mais « validait » le téléchargement. Seule différence : les plaintes se sont rapidement propagées.

Alors que Lenovo s’emploie toujours à réparer les dégâts du scandale Superfish de 2015 impliquant un bloatware et un adware, la lecture des accords conclus entre le constructeur chinois et la FTC révèlent un détail surprenant qui laisse penser que les utilisateurs ayant acheté des ordinateurs portables du constructeur chinois ont été probablement abusés de la même manière par Microsoft. Dans le cas de Lenovo, un clic sur la croix de fermeture de la fenêtre, loin d’empêcher l’installation de l’adware Superfish (de l’entreprise VisualDiscovery) déclenchait son téléchargement. Pour rappel, cette autorisation exposait les utilisateurs à des attaques de type « man-in-the-middle ». Dans le cas de Microsoft, un clic sur la fenêtre « validait » la mise à jour vers Windows 10.

Une amende de 3,5 millions de dollars pour Lenovo 

Mardi, Lenovo a payé l’amende de 3,5 millions de dollars que lui a infligée la Federal Trade Commission et le constructeur chinois a accepté d'autres concessions de sécurité afin d’éviter un nouveau scandale dans le genre de Superfish. Selon la FTC, le logiciel a permis à VisualDiscovery de voir toutes les informations personnelles et confidentielles que l’utilisateur transmettait sur Internet, y compris ses identifiants de connexion, ses numéros de sécurité sociale et plus encore. En 2015, le CTO de Lenovo, Peter Hortensius, avait qualifié l’affaire Superfish « d’erreur majeure ». L’accord signé avec la FTC interdit à Lenovo de masquer les fonctions de logiciels préchargés sur les ordinateurs portables chargés d’injecter de la publicité dans les sessions de navigation Internet à l’insu des utilisateurs. Selon la FTC, Lenovo a obligation de mettre en place, pendant 20 ans, un « système de sécurité intégral pour la majorité des logiciels grand public préchargés sur son ordinateur portable », et ce système fera l’objet d’audits externes. Si Lenovo introduit un adware sur ses ordinateurs portables, il doit « obtenir le consentement explicite des utilisateurs », stipule encore l’agence indépendante américaine.

C'est d’ailleurs sur cette question du « consentement explicite » qu’une des commissaires de la FTC, Terrell McSweeny, a estimé que Lenovo était allé trop loin. Dans une note distincte, la commissaire, nommée par l'administration Obama - son mandat arrive à son terme à la fin du mois - fait état de deux faits essentiels jamais rendus publics. Tout d'abord, la présence du logiciel Superfish sur un ordinateur portable peut ralentir la vitesse d’accès à Internet de 125 %. Ensuite, l’action accomplie par l’utilisateur pour refuser d’installer le logiciel Superfish masquait en fait un consentement ! L’information n’est pas anodine : d’une part, le bloatware entame les performances des ordinateurs portables et des tablettes. Mais, en plus, Lenovo, selon elle, a franchi une ligne rouge en injectant un adware, en l’occurrence le logiciel Superfish VisualDiscovery, qui était capable de communiquer des informations confidentielles sur les utilisateurs. Mieux encore, en regardant ces notes de plus près, on comprend que les méthodes et les effets négatifs de Superfish sur la navigation et la tactique mensongère utilisée par les deux entreprises pour obtenir le « consentement explicite » des utilisateurs ont été reprises plus tard par Microsoft pour obliger les utilisateurs à passer à Windows 10.

Un clic sur la croix n’interrompt pas le programme

Selon Terrell McSweeny, le logiciel Superfish ralentit la navigation Internet de 25 % pour le trafic en aval, et jusqu'à 125 % pour les téléchargements. Mais l’adware de VisualDiscovery ne faisait pas que ralentir le trafic internet. Il a également utilisé une méthode non sécurisée pour remplacer les certificats numériques, exposant les utilisateurs à des risques de piratage et a empêché leurs navigateurs de les alerter en cas de redirection vers de faux sites. Enfin, sur tous les sites de commerce électronique, le logiciel VisualDiscovery affichait des publicités.

Selon la commissaire de la FTC, VisualDiscovery et son logiciel Superfish ont « modifié l'expérience Internet, motif essentiel d’achat d’un ordinateur pour la plupart des consommateurs », a-t-elle écrit. « Je pense que si les consommateurs avaient été pleinement conscients de l’activité de VisualDiscovery, s’ils avaient su que le logiciel compromettait leur système, la majorité d’entre eux aurait décidé de ne pas l’activer ». Celle-ci a encore expliqué que « la première fois qu'un utilisateur visitait un site de commerce électronique, « VisualDiscovery lançait une fenêtre pop-up pour activer Superfish ». Ensuite, Superfish détournait les fonctions conventionnelles du logiciel. « Car en cliquant sur la croix de fermeture de la fenêtre, le consommateur donnait son approbation à l’activation du programme », a insisté Terrell McSweeny.

Microsoft a utilisé la même méthode pour imposer Windows 10 

Ce n’est pas un hasard si cette procédure en rappelle une autre. En effet, un an plus tard environ, Microsoft se démenait pour pousser les utilisateurs à mettre leurs anciens systèmes à niveau vers Windows 10. L’éditeur a commencé par harceler les utilisant avec des écrans d’invite incessants. Mais, en mai 2016, l’éditeur est aussi allé trop loin : en cliquant sur la croix de fermeture de la fenêtre pop-up invitant à la mise à jour vers Windows 10, l’utilisateur validait l’installation du nouveau système au lieu de la rejeter. Les plaintes ont fusé sur Reddit et d'autres sites, pour rendre compte des tactiques musclées utilisées par Microsoft pour forcer sa base d'utilisateurs à migrer sous Windows 10. À l'époque, la plupart des commentateurs avaient attribué l’idée à Microsoft. Mais la lecture détaillée du rapport de la FTC montre que l’éditeur a simplement reproduit la tactique sournoise de VisualDiscovery.