Aujourd'hui, le fabricant Lenovo s'est fendu d'un communiqué de presse pour avouer la pré-installation sur certains de ses ordinateurs portables d'un logiciel dénommé Superfish qui suscite la polémique.

Celui-ci a été préinstallé sur des ordinateurs livrés entre septembre et décembre 2014. Si son but était d'aider les utilisateurs à découvrir des produits jugés potentiellement intéressants, sa présence a été mal vécue.

Lenovo Y50 Pas de pistage de la part de Superfish mais des propositions basées sur d'autres images Web affichées. Ces propositions sont faites dans des pages comme les résultats de recherche Google. En somme… un adware qui ne dit pas son nom. À noter qu'un utilisateur doit accepter un accord de licence la première fois qu'il lance son navigateur.

Ce n'est déjà pas bien beau pour Lenovo mais il y a pire quand des problèmes de sécurité s'en mêlent. La faute à Superfish qui installe un certificat électronique racine auto-signé pouvant intercepter du trafic chiffré HTTPS.

Une sorte d'attaque man-in-the-middle pour pouvoir afficher des pubs malgré une connexion sécurisée avec le risque d'une exploitation par un hacker… mais du type black hat. Pour l'expert en sécurité Graham Cluley, c'est simple : si Superfish est présent sur une machine, " vous ne pouvez plus faire confiance aux connexions sécurisées à des sites. "

Il publie en outre une liste cauchemardesque de tous les maux malveillants que peut impliquer Superfish et mis au jour par la communauté des chercheurs en sécurité informatique. Le pompon est que Superfish utilise un certificat SHA1 déprécié. " Non seulement ils compromettent les connexions SSL des internautes, mais ils le font de la manière la plus cavalière et peu sûre possible. "

En dépit de ce dossier à charge, Lenovo indique n'avoir trouvé dans la technologie Superfish " aucune preuve justifiant des problèmes de sécurité ". Le fabricant ajoute que Superfish a complètement désactivé les interactions côté serveur depuis janvier pour tous les produits Lenovo. Cet adware ne sera en outre plus préinstallé à l'avenir.

Pour savoir si un ordinateur est concerné par les soucis générés par Superfish, un test en ligne est disponible ici. La seule désinstallation de Superfish ne suffit pas obligatoirement à résoudre le problème du certificat " foireux ". Le cas échéant, il pourra être nécessaire de passer à la suppression manuelle depuis le gestionnaire de certificats de Windows (il peut être exécuté avec la commande certmgr.msc).