Dans une lettre ouverte, le directeur technique de Lenovo annonce que le constructeur souhaite faire amende honorable. Une réflexion est en cours au sein de l’entreprise pour qu’une affaire SuperFish ne puisse se reproduire. Des actions seront prises, et il se pourrait bien que la conséquence directe soit une image plus « propre » du système préinstallée.
Phase 1 : débrancher tout ce qui pose problème
Le nom SuperFish restera dans les annales. Ce logiciel, au comportement très proche d’un adware, était installé par Lenovo sur une partie des machines grand public pour fournir aux internautes des éléments visuels de comparaison des produits qui semblaient les intéresser. Malheureusement, derrière ce logiciel se cachait une technologie, fournie par la société Komodia, qui reposait sur un certificat auto-signé et permettant d’intercepter et de se faufiler dans les connexions sécurisées SSL.
Le constructeur n’a eu d’autre choix que de réagir très vite. Il a expliqué il y a quelques jours que SuperFish n’était plus installé depuis le mois dernier sur les nouvelles machines et que le service avait été coupé sur celles existantes. Devant l’immensité du risque pour la sécurité des utilisateurs, Lenovo a également fourni une solution pour désinstaller complètement SuperFish, ainsi que le certificat de sécurité. Ce dernier est en l’état éminemment dangereux puisque sa clé de chiffrement a rapidement été trouvée, ouvrant la voie à de nombreux scénarios d’attaque de type « man-in-the-middle ».
Phase 2 : transformer un échec en succès éventuel
Dans une lettre ouverte, le directeur technique du constructeur, Peter Hortensius, explique que Lenovo réfléchit actuellement aux leçons à tirer. L’entreprise veut évidemment éviter la répétition d’un problème qui ne peut avoir que des conséquences très négatives sur son image. Un « plan concret » sera donc développé pour s’occuper de toutes les vulnérabilités logicielles qui ont été soulignées.
Plus important, ce plan devrait aboutir à une révision d’une « image PC plus propre », autrement dit la manière dont Windows est modifié pour convenir à l’offre que Lenovo souhaite fournir avec ses machines. C’est la même image que le client peut graver sur un DVD quand il souhaite formater et restaurer son PC. Lenovo va donc travailler « directement avec les utilisateurs, les experts en vie privée et en sécurité ainsi que d’autres pour créer rapidement une juste stratégie de préchargement ». Peter Hortensius indique même que les opinions les plus brutales seront récoltées sur les futurs produits.
Pour Lenovo, l’expérience est aussi un exercice de style visant à redorer rapidement son image de marque. Comment sortir tête haute d’une telle affaire SuperFish ? L’une des pistes pourrait être de continuer à communiquer sur cette prise de conscience, afin d’aboutir à une ligne de conduite claire sur ce qui doit être fourni avec une nouvelle machine. La problématique n’est pas nouvelle et beaucoup ont déjà réinstallé un Windows « propre » en lieu et place de celui fourni par le constructeur, dans le but unique de ne laisser que l’essentiel. Avec, souvent à la clé, une réactivité largement accrue. On peut même rêver un peu : la réaction de Lenovo pourrait faire des émules chez les autres constructeurs. Qui sait ?