Superfish : Lenovo clôt le « dossier adware » sans mettre la main à la poche
Lenovo a trouvé un terrain d’entente avec l’autorité antitrust américaine concernant un logiciel espion installé sur certains de ses ordinateurs portables.
Lenovo n’aura pas à délier sa bourse, mais fera l’objet d’un suivi sur le long terme, avec des obligations vis-à-vis de ses clients comme des autorités.
C’est, dans les grandes lignes, la teneur de l’accord que le groupe chinois a trouvé avec la Federal Trade Commission.
L’agence antitrust américaine s’était saisie de l’affaire « Superfish », du nom de la firme américaine à l’origine du logiciel publicitaire WindowShopper.
Lenovo lui en avait commandé une déclinaison baptisée VisualDiscovery, avec le même objectif : surveiller le trafic Web et injecter, sur certaines pages, des recommandations de produits vendus par des commerçants partenaires.
Les capacités supplémentaires dont VisualDiscovery disposait par rapport à WindowShopper – notamment le fait de pouvoir fonctionner avec des navigateurs installés a posteriori – étaient liées à l’intégration d’une technologie développée par l’entreprise israélienne Komodia.
La FTC n’a pas digéré ce cocktail, qui, selon elle, présente des risques de sécurité.
Lenovo avait reçu, de la part d’un chercheur, un premier avertissement dans ce sens en septembre 2014, quelques semaines après la mise sur le marché de ses premiers PC équipés de VisualDiscovery.
La multinationale n’a toutefois officiellement reconnu l’existence du logiciel que le 20 février 2015, dans la foulée des révélations publiques d’autres chercheurs. Mais cela faisait des mois que des utilisateurs de notebooks (hors gamme ThinkPad) se plaignaient.
Dans sa plainte (document PDF, 8 pages), la FTC estime que la présence de VisualDiscovery a été dissimulée au maximum : exécution systématiquement en arrière-plan, aucune icône ni élément de menu, visibilité limitée à l’option d’ajout/suppression de programmes du panneau de configuration…
L’autorité de la concurrence pointe aussi du doigt l’activation par défaut du logiciel. Quant au lien de désactivation, présenté au premier lancement dans une fenêtre d’alerte, il « peut facilement être raté » par l’utilisateur, qui ne peut pas trouver davantage d’informations dans le contrat de licence – en ligne – de VisualDiscovery.
En outre, si la désactivation coupe effectivement l’affichage de publicités, elle ne stoppe pas la fonction proxy.
Cette dernière est liée à l’implémentation de Komodia. Elle permet à VisualDiscovery d’installer un certificat racine dans le registre Windows… et ainsi d’implanter sa propre signature dans tous les certificats présentés par des sites en HTTPS, trompant ainsi les navigateurs Web.
Problème : ce dispositif est un vecteur d’attaque informatiques, au moins dans certaines configurations, comme en ont témoigné des chercheurs parvenus à extraire le certificat de VisualDiscovery et à craquer la clé de chiffrement associée.
Dans le faits, VisualDiscovery ne vérifiait pas, avant de les remplacer, la validité des certificats émis par les sites HTTPS. Ceux potentiellement malveillants n’étaient donc pas signalés à l’utilisateur. Il était d’autant plus facile pour des tiers d’intercepter le trafic que la clé de chiffrement liée au logiciel était protégée, sur tous les PC, par le même mot de passe : « komodia ».
À partir de décembre 2014, Lenovo avait commencé à livrer une deuxième version du logiciel, non opérationnelle sur les sites HTTPS et/ou dépourvue du certificat root. Les ordinateurs équipés de la première mouture n’ont toutefois pas été mis à jour. La FTC estime que 375 000 unités se sont écoulées aux États-Unis.
Le 20 février 2015, les livraisons de « PC Superfish » avaient été stoppées, mais les distributeurs ont vendu leurs stocks au moins jusqu’en juin de la même année.
Aux termes de l’accord (PDF, 14 pages) signé avec la FTC, qui lui reproche de ne pas avoir suffisamment évalué les risques liés à l’intégration de VisualDiscovery, Lenovo devra recueillir le consentement explicite des utilisateurs avant de mettre en fonction un tel logiciel.
Par « explicite », il faut notamment entendre hors contrat de licence, conditions générales et politique de confidentialité, avec l’obligation de préciser la fréquence de diffusion (pour le cas des publicités) ou encore les informations partagées (dans le cas de la collecte de données).
Lenovo devra aussi, entre autres, se soumettre à des audits réguliers sur une période de 20 ans, tout en conservant certains documents, dont les éventuelles plaintes reçues à l’égard de produits entrant dans le cadre de l’accord avec la FTC.