Les excuses de Lenovo et la mise à disposition d'un outil pour supprimer le logiciel publicitaire Superfish de ses ordinateurs portables n'ont pas empêché des utilisateurs mécontents d'engager une action contre lui. Le constructeur chinois est poursuivi par une cliente en Californie. Le recours, qui pourrait se transformer en action collective, a été engagé à la fois contre Lenovo et contre Superfish pour pratiques commerciales frauduleuses. La plaignante, Jessica Bennett, les accuse d'envahir sa vie privée en étudiant ses habitudes de navigation sur Internet. Elle explique que son ordinateur portable a été endommagé à cause de l'adware qu'elle présente comme un spyware.

Les premières plaintes au sujet de Superfish sur les portables Lenovo ont commencé dès septembre 2014. Les problèmes de sécurité, eux, ont été signalés le 19 février par le hacker Marc Rogers. Celui-ci a révélé qu'une faille du logiciel ouvrait le champ à des attaques de type man-in-the middle entraînant la rupture des connexions sécurisées afin d'accéder à des données sensibles dans l'ordinateur et d'y injecter des publicités.

Collaboration avec Microsoft et McAfee

En fin de semaine dernière, le support de Lenovo a livré un outil pour désinstaller le logiciel publicitaire et le certificat Superfish qu'il avait préchargé sur certains de ses PC grand public. Le constructeur chinois a également collaboré avec McAfee et Microsoft pour mettre en quarantaine le logiciel et le certificat Superfish ou le supprimer avec leurs outils. Il dit avoir arrêté les préchargements de Superfish en janvier à la suite de plaintes d'utilisateurs n'appréciant pas les services ainsi proposés, mais il assure qu'il ignorait alors que le logiciel comportait une faille de sécurité. L'outil est associé à des apps pour Android et iOS. Il identifie des objets et recherche des images similaires sur les boutiques en ligne pour les consommateurs souhaitant acheter les mêmes. Lenovo assure que cette technologie est uniquement basée sur des images mises en contexte et qu'elle ne nécessite pas d'enregistrer le comportement des utilisateurs.

Les ordinateurs portables touchés par le problème sont les séries G, U, Y, Z, S, E, Flex, Miix et Yoga. En revanche, le constructeur rappelle que les ThinkPad ne sont pas concernés, ni ses tablettes, machines de bureau ou smarphones, pas plus, bien sûr, que ses serveurs d'entreprise ou ses périphériques de stockage. Mais Lenovo a reconnu, en présentant ses excuses, que l'ensemble de ses clients devaient être informés.

Superfish s'appuie sur un composant de Komodia

Plus inquiétant, il s'avère que Superfish s'appuie sur un composant tiers pour la fonctionnalité d'interception HTTPS. Il s'agit d'un SDK dénommé SSL Decoder/Digestor produit par une société israélienne appelée Komodia. Des experts en sécurité ont trouvé que le même SDK était intégré dans d'autres logiciels, dont des outils de contrôle parentaux fournis par Komodia et par d'autres sociétés.

Comme on pouvait s'y attendre, ces logiciels interceptent le trafic HTTPS de la même façon, en utilisant un certificat racine dont la clé privée peut être facilement extraite de leur mémoire ou de leur code. Des utilisateurs ont commencé à lister les logiciels affectés, leurs certificats et leurs clés privées. Parmi ceux-ci, on trouve par exemple My Family Secure, Qustodio et Kurupira WebFilter.