Lenovo écope enfin d'une amende pour avoir préinstallé des logiciels espions sur ses ordinateurs
Le fabricant d'ordinateurs Lenovo est désormais obligé de payer 3,5 millions de dollars pour régler les allégations concernant le scandale Superfish. Le 6 septembre 2017, une coalition de 32 procureurs a annoncé que l'entreprise devra payer pour la distribution de logiciels publicitaires en tandem avec ses produits pour les clients.
L'entreprise a fait une énorme erreur lorsqu'elle a choisi de regrouper Logiciel publicitaire Superfish avec ses ordinateurs en 2014. La société a reçu un contrecoup lorsque les utilisateurs ont commencé à se plaindre du logiciel publicitaire ennuyeux VisualDiscovery (développé par la société californienne Superfish) à l'automne 2014.
En janvier 2015, la société chinoise Lenovo a supprimé le logiciel publicitaire des préchargements des nouveaux systèmes grand public. La société a également déclaré que Superfish empêchait les machines Lenovo existantes sur le marché d'activer le logiciel financé par la publicité. Plus tard, la marque d'ordinateurs la plus vendue a publié un outil pour aider les utilisateurs à supprimer le logiciel infâme de ses produits.
Les activités du logiciel publicitaire Superfish peuvent être décrites comme « agressives »
Le logiciel publicitaire décrit pourrait afficher des publicités contextuelles pour l'utilisateur, injecter des publicités dans des sites Web et leur donner l'impression qu'elles proviennent de ces pages Web et ainsi dérouter l'utilisateur. En outre, il pourrait même utiliser des pouvoirs de certificat au niveau racine pour injecter des publicités sur des sites Web cryptés.
Selon la FTC, VisualDiscovery a été utilisé comme un « homme du milieu » entre les utilisateurs et les pages Web qu'ils ont visitées. La méthode permettait au logiciel d'accéder aux informations privées de l'utilisateur chaque fois que l'on les transférait sur Internet. De cette façon, le nom de la victime, les informations de connexion, les données de paiement et les numéros de sécurité sociale pourraient atteindre les serveurs de Superfish.
Afin d'afficher des publicités sur des sites Web cryptés (HTTPS), l'adware utilisait une technique qui permettait de remplacer les certificats numériques de ces sites par des certificats signés VisualDiscovery. Le logiciel n'a pas vérifié de manière appropriée si les certificats des sites Web étaient valides avant de les remplacer par les siens. En outre, un mot de passe facile à déchiffrer était utilisé sur tous les ordinateurs portables.
En raison du problème, les navigateurs des victimes ne pouvaient pas afficher d'avertissements concernant les sites Web dangereux avec de faux certificats de sécurité. La vulnérabilité de sécurité pourrait permettre aux criminels d'interférer les communications des utilisateurs avec les sites Web en forçant simplement le mot de passe préinstallé.
Le règlement est en attente d'approbation par les tribunaux de 32 États
Bien que Lenovo n'ait pas été d'accord avec les allégations selon lesquelles il « a préchargé des logiciels qui pouvaient accéder aux informations sensibles des consommateurs sans préavis adéquat ou consentement à son utilisation », il a déclaré que la société est « heureuse de clore cette affaire après deux heures et demie ans."
Cependant, le règlement attend l'approbation des tribunaux des États participants. S'ils sont approuvés, les 3,5 millions de dollars de Lenovo seront divisés en montants proportionnels et distribués à ces États.