Depuis la médiatisation des révélations autour de l'adware Superfish pré-installé dans des ordinateurs portables Lenovo, le fabricant chinois tente de rattraper le coup. Le gros souci réside dans la vulnérabilité de sécurité mise au jour dans cet adware.

lenovo-y50 Certes, un utilisateur devait accepter un accord de licence au premier lancement de son navigateur mais le potentiel de dangerosité insoupçonné de Superfish change la donne. Aux États-Unis, Hattis Law tente de monter un recours collectif contre Lenovo.

Les class actions sont la spécialité de cette société. Fin 2013, elle avait déjà obtenu de Lenovo un accord amiable dans une affaire où des consommateurs californiens avaient reproché l'affichage sur son site Web de faux rabais car en rapport avec d'anciens prix sur des ordinateurs. Sur demande, les plaignants ont pu obtenir 50 $.

Cette fois-ci, Hattis Law monte un recours collectif en reprochant à Lenovo d'avoir vendu " des millions d'ordinateurs portables " depuis septembre 2014 avec un " dangereux malware " pré-installé :

" Des chercheurs en sécurité ont identifié Superfish comme un malware hautement dangereux qui rend l'ordinateur vulnérable aux hackers. Le logiciel détourne les sessions chiffrées des navigateurs Web en permettant des attaques man-in-the-middle via lesquelles des attaquants peuvent facilement certifier des sites HTTPS qui se font passer pour des sites légitimes. "

L'US-CERT a publié une note de vulnérabilité afin d'indiquer qu'un attaquant peut intercepter et espionner du trafic HTTPS sans déclencher l'alerte du navigateur concernant un certificat électronique. Pour la faille elle-même, le coupable est Komodia avec la technologie Komodia Redirector et SSL Digestor rendant les sessions HTTPS vulnérables.

Citant une plainte déposée aux États-Unis par une dénommée Jessica Bennett, qui avait fait l'acquisition d'un Yoga 2, PCWorld (IDG News Service) rapporte qu'elle reproche à Lenovo et Superfish d'avoir violé sa vie privée et fait de l'argent en étudiant ses habitudes de navigation sur Internet. C'est le comportement de l'adware Superfish qui est pointé du doigt mais elle évoque aussi le cas de la vulnérabilité de sécurité.