Certificat CA Superfish dans le magasin de clés WindowsEn février 2015, Lenovo a
été reconnu coupable d'avoir installé le logiciel malveillant VisualDiscovery développé par Superfish sur des ordinateurs portables. En y regardant de plus près, il s'est avéré être un malware typique qui écoute le trafic, analyse les requêtes de recherche et injecte des publicités sur les pages des sites tiers. L'application intercepte, y compris le trafic HTTPS. Pour ce faire, il installe le certificat d'autorité de certification racine de Superfish dans le magasin de clés Windows (avec une clé privée) et assure la procuration de tout le trafic entre l'hôte et le navigateur, en remplaçant le certificat par le sien. Un simple
dictionnaire bruteforce
de 2203 mots utilisant le
pirate de certificat
pemcrack a déterminé le mot de passe pour la
clé privée de
komodia .
En général, l'histoire est sortie extrêmement désagréable. Il s'est avéré que ce malware était installé sur les ordinateurs portables Lenovo depuis septembre 2014.
Une enquête plus approfondie a révélé qu'un total de logiciels malveillants a été installé sur 750 000 ordinateurs portables des modèles suivants: E-Series, Edge Series, Flex-Series, G-Series, Miix Series, S-Series, U-Series, Y-Series, Yoga Series et Z-Series.
Le malware a non seulement pénétré dans le trafic de l'utilisateur chiffré, mais grâce à la clé privée du certificat avec un simple mot de passe, il a potentiellement fourni à un attaquant tiers la possibilité de mener une attaque MitM, ce qui compromet la confidentialité des informations, y compris les données financières, etc.
Clé privée pour le certificat Superfish CAAprès le scandale a éclaté, Lenovo a
publié un outil pour supprimer automatiquement Superfish et des instructions pour le supprimer manuellement. Mais cela ne l'a pas sauvée de la punition. Au début, les représailles ont pris la forme d'une
attaque de pirate avec la défaite de Lenovo.com , et maintenant la société chinoise a été obligée de verser une indemnité aux propriétaires d'ordinateurs portables blessés.
Un
recours collectif (PDF) a été déposé contre Lenovo auprès du tribunal de district fédéral du nord du district de Californie pour indemnisation, et le 21 novembre 2018, le tribunal a provisoirement fait droit à ces demandes.
Cependant, l'affaire n'a pas abouti au paiement de l'indemnité établie par le tribunal, car Lenovo a convenu avec les représentants du plaignant d'
une indemnité avant le procès d'un montant de 7,3 millions de dollars . Ce montant s'ajoute à la précédente compensation de 1 million de dollars, que Lenovo a déjà allouée. Ainsi, le fonds total pour le paiement d'indemnités aux utilisateurs américains touchés est désormais de 8,3 millions de dollars.
Il convient de noter que Lenovo n'a pas été pendant longtemps en désaccord avec les allégations de la demanderesse au motif qu'elle «n'a pas connaissance du fonctionnement du programme Superfish par des tiers». Elle n'est pas convaincue, mais se dit satisfaite que ce processus de 2,5 ans soit enfin terminé. Ceci est indiqué dans le
communiqué de presse officiel (déjà supprimé) .
Peut-être que le coût des services juridiques pour mener le processus devra être déduit du fonds. Si nous divisons la compensation entre les 750 000 utilisateurs concernés, tout le monde ne recevra qu'environ 10 $. En principe, c'est très peu pour installer un proxy MitM avec l'introduction de la publicité: par exemple, Amazon offre une remise de 20 $ sur son Kindle si l'utilisateur accepte de voir la publicité. Donc 10 $ par personne est très petit et même avantageux pour Lenovo. Sauf pour les dommages à la réputation.
Mais en pratique, le montant des compensations peut être bien inférieur à 750 000, de sorte que les paiements seront supérieurs à 10 $. L'indemnisation est accordée uniquement aux personnes qui ont acheté des ordinateurs portables des modèles suivants aux États-Unis du 1er septembre 2014 au 28 février 2015:
- Série G: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G50-45
- Série U: U430P, U430Touch, U530Touch
- Série Y: Y40-70, Y50-70
- Série Z: Z50-75, Z40-70, Z50-70
- Série Flex: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 15 (BTM), Flex 10
- Série MIIX: MIIX2-10, MIIX2-11
- Série YOGA: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
Le montant exact de la compensation dépend du nombre d'utilisateurs qui soumettent des demandes au fonds. En plus de cet argent, Lenovo a déjà payé
deux amendes de 3,5 millions de
dollars en accord avec la Federal Trade Commission et les autorités de 32 États.
En Russie, pour autant que l'on sache, aucun recours collectif n'a été intenté contre Lenovo, donc aucune compensation n'est accordée.
