Lenovo accusé d’infecter ses propres PC. Le protocole sécurisé SSL aurait été atteint |
Très mauvaise publicité pour le premier fabricant mondial. Lenovo a été contraint d’admettre qu’il a installé secrètement un logiciel de publicité sur ses ordinateurs, lors de leur fabrication. Problème : ce logiciel aurait un effet pervers en mettant en péril la sécurité du protocole de sécurisation SSL. Face au tollé, Lenovo fait une courbe rentrante.
Lenovo, ce n’est pas n’importe qui. Il s’agit ni plus ni moins du premier fabricant mondial de PC. 60 millions de PC vendus l’an passé tout de même… Le groupe chinois est connu pour avoir racheté il y a quelques années la division PC d’IBM, ce qui lui a permis de faire son entrée dans la cour des grands. Ensuite, il a particulièrement bien tiré son épingle du jeu grâce à du matériel de qualité. Mais là, son image en prend un coup …
Toujours plus gourmand ?
Le but ? Probablement faire de la concurrence à des systèmes bien connus comme Adwords, et créer une source de revenus complémentaires pour le fabricant qui pourrait ainsi entrer dans le marché très rentable de la publicité en ligne. Un péché de gourmandise ? Le groupe ne nie pas mais minimise. Selon lui, il s’agirait d’améliorer « l’expérience utilisateur » selon l’expression consacrée, en permettant d’afficher du contenu publicitaire qui lui convient vraiment. Du marketing ciblé en un mot.
Contre publicité Il s’agit toutefois d’une contre-publicité remarquable, car plusieurs commentateurs rappellent que Lenovo a déjà été accusé plusieurs fois d’infecter ses PC lors de leur fabrication en modifiant les microprocesseurs afin de créer une porte d’entrée dérobée. Derrière cela, il y aurait le gouvernement chinois et de sombres opérations d’espionnage et/ou de cyber-guerre. Difficile de savoir si ces accusations ont quelque fondement ou s’il s’agit d’un fantasme lié à l’origine chinoise du fabricant, mais la rumeur est solide. Tel le monstre du Loch Ness, la rumeur est réapparue plus forte que jamais ces jours-ci, suite à l’affaire Superfish.
Un risque grave pour la sécurité
Le protocole SSL – abréviation de Secure Socket Layer – est une application des outils cryptographiques, largement utilisée pour les paiements électroniques en ligne, bien qu’il n’a pas été créé spécifiquement pour cela. Le système – intégré par défaut à presque tous les logiciels de navigation – crée un canal de communication sécurisé entre le serveur du vendeur et l’ordinateur du client, assurant entre eux la transmission cryptée des informations communiquées (par exemple : le numéro facial de la carte de crédit, la date d’expiration et le nom du titulaire).
Le protocole SSL présente principalement les avantages suivants :
Toute médaille ayant son revers, ces avantages et la simplicité d’utilisation constituent également les principales faiblesses du système :
En raison de sa conception (recours à des certificats auto signés, en utilisant de surcroît la même clef privée sur tous les ordinateurs équipés de ce logiciel), le logiciel Superfish peut déchiffrer des connexions supposées sécurisées afin d’insérer des contenus publicitaires sans que l’utilisateur ne soit averti d’une telle intrusion, et briser ainsi la sécurité du protocole (plus d’infos en faisant une recherche sur votre moteur préféré avec les mots-clef « superfish ssl »).
Lenovo fait une courbe rentrante
Après cette lecture, quel est votre avis ?
Source : http://www.droit-technologie.org/actuality-1698/lenovo-accuse-d-infecter-ses-propres-pc-le-protocole-de-securise-ssl.html Par Etienne Wery, Avocat aux barreaux de Bruxelles et Paris (cabinet Ulys)
|
Aucun commentaire jusqu'à présent.