Adware SuperFish : une amende de 3,5 millions de dollars pour Lenovo

Début 2015 éclatait le scandale du logiciel VisualDiscovery de SuperFish, installé sur nombre de machines Lenovo. Amenant de vastes soucis potentiels de sécurité, il vient de provoquer une condamnation pour le constructeur, qui devra payer 3,5 millions de dollars et revoir ses méthodes.

Il s’agissait d’un petit logiciel que Lenovo installait sur certaines de ses gammes d’ordinateurs portables, au moins depuis 2014. Des centaines de milliers d’appareils accueillaient VisualDiscovery, destiné à présenter des publicités en fonction de l’activité de l’utilisateur. En clair, un adware.

Ce logiciel provenait de la société SuperFish et fut d’ailleurs surtout connu sous ce nom. Du côté de Lenovo, on se récriminait : aucun problème de fond avec SuperFish puisque les informations étaient contextuelles et devaient permettre aux utilisateurs de découvrir de nouveaux produits… donc toujours de la publicité. Le souci principal ne provenait cependant pas du fond, mais bien de la forme.

Un certificat cataclysmique

La solution retenue par SuperFish pour son VisualDiscovery était particulièrement dangereuse. Pour s’insérer partout et surveiller ce que l’utilisateur faisait en ligne, il installait un certificat racine dans Windows apte à réaliser ni plus ni moins que des attaques de l'homme du milieu (MITM).

Le certificat racine permettait ainsi à SuperFish de s’insérer dans toutes les connexions sécurisées (HTTPS) réalisées sous Internet Explorer et Chrome. À partir de là, le logiciel peut espionner toutes les activités en ligne dans le navigateur et servir d’autant plus efficacement des publicités. Si le problème n’était pas assez sérieux, ajoutons la cerise sur le gâteau : SuperFish utilisant la même clé de signature pour la totalité des machines.

Le danger était immense : il suffisait qu’un pirate récupère cette clé pour monter un serveur qui lui permettrait de récolter de très nombreuses informations personnelles, et ce sans que les internautes y puissent quoi que ce soit. Conscient tout à coup du risque, SuperFish avait proposé un patch désactivant la surveillance des connexions HTTPS. Mais le mal était déjà fait.

Lenovo condamné par la FTC

Le scandale VisualDiscovery avait entrainé de nombreux signalements à la Federal Trade Commission (FTC) américaine, qui avait alors pris les choses en main. Elle a rendu hier soir son verdict : Lenovo devra s’acquitter d’une amende de 3,5 millions de dollars et revoir en profondeur certaines méthodes. Le constructeur a accepté de payer la somme sans discuter.

Maureen Ohlhausen, commissaire et présidente de la FTC, résume ainsi l’avis de l’administration : « Lenovo a compromis la vie privée des consommateurs quand il a préchargé un logiciel pouvant accéder à des informations sensibles, sans la moindre notification adéquate ou demande de consentement. Une conduite d’autant plus grave que le logiciel compromettait la sécurité en ligne dont les utilisateurs ont besoin ».

La commission note également qu’à cause de la méthode radicale choisie par SuperFish, les navigateurs ne pouvaient plus avertir les internautes si des risques étaient détectés, notamment en cas de sites malveillants. Bien que Lenovo ne soit pas l’auteur du logiciel, la société s’est rendue coupable pour la FTC de ne pas avoir vérifié le fonctionnement d’un produit tiers qu’il livrait préinstallé avec ses machines.

Des méthodes à revoir

En plus des 3,5 millions de dollars, la FTC exige que le constructeur revoie très sérieusement sa manière de proposer des logiciels préinstallés. Lenovo avait en fait déjà réagi en annonçant qu’un processus complet de révision allait permettre un grand ménage. En clair, l’entreprise souhaitait revenir à un programme beaucoup plus sain : n’installer que le strict minimum en basculant dans le camp « anti-bloatware ».

Dans sa décision, la FTC n’en demande pas tant et se focalise sur trois points. D’une part, l’interdiction de déguiser des logiciels qui permettraient l’injection de publicités ou d’envoyer des informations personnelles vers un tiers. D’autre part, l’obligation d’avertir l’utilisateur et de recueillir son consentement pour utiliser de telles fonctionnalités.

Enfin, Lenovo doit bâtir pour les 20 prochaines années un programme complet de sécurité s’appliquant à l’ensemble des logiciels préchargés sur ses ordinateurs. Sur ce point, Lenovo a pris de l’avance. Cependant, la FTC prévient que le programme sera soumis à des audits extérieurs. Le constructeur devra donc être transparent sur les mesures adoptées sur les deux dernières années.

Lenovo grimace mais se dit heureuse d’en finir

Du côté de Lenovo, et comme le rapporte Reuters, on indique ne pas être d’accord avec toutes les « allégations contenues dans ces plaintes ». La société se dit toutefois « satisfaite d’en finir avec ce sujet après deux ans et demi » de procédure. Elle ajoute qu’à ce jour, aucun tiers ne semble avoir exploité les « communications de l’utilisateur » via ces « vulnérabilités ». Il s’agissait pourtant bien de ce qui était reproché à SuperFish.

On notera d’ailleurs que ce dernier n’a pas été inquiété. L’activité en elle-même est jugée dangereuse mais pas illégale à partir du moment où le consentement éclairé de l’utilisateur a été obtenu. Les reproches se concentraient donc sur Lenovo, qui a toute responsabilité sur l’intégration des logiciels dans ses machines.

Dans un communiqué séparé, la présidente de la FTC, Maureen Ohlhausen, note que cette affaire illustre un cas typique de déformation, à opposer au simple oubli d’information. Il est évident selon elle que Lenovo a cherché à tromper les utilisateurs en présentant VisualDiscovery comme un outil pratique du quotidien, pour masquer son véritable rôle d’adware.