Sécurité

Lenovo promet des PC sans bloatware, des abonnements McAfee gratuits pour les victimes de Superfish

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Aujourd’hui, Lenovo a dévoilé son plan post-Superfish pour les PC grand public ainsi que la manière dont il entend indemniser les clients concernés. La société note qu’elle a travaillé avec des partenaires de l’industrie pour créer des outils de suppression et mettre à jour le logiciel antivirus. Les clients concernés recevront un abonnement gratuit de six mois à McAfee LiveSave ou une extension d’abonnement de six mois si vous achetez déjà le service. Plus d’informations à ce sujet seront publiées d’ici une semaine.

À l’avenir, Lenovo a promis d’offrir une expérience PC fondamentalement différente. Au moment du lancement de Windows 10, l’OEM chinois n’inclura que le système d’exploitation et les logiciels associés dans son image d’appareil standard. Lenovo précise en outre que les « logiciels associés », dans ce cas, désignent les logiciels pilotes et les utilitaires directement liés au fonctionnement du matériel sous-jacent. Le gestionnaire audio de RealTek, par exemple, est le type d’application qui pourrait encore être intégrée à un système Lenovo.

Lenovo affirme que cela éliminera les bloatwares et les logiciels publicitaires, bien qu’il se laisse une petite marge de manœuvre. La déclaration indique que « pour certains pays, certaines applications habituellement attendues par les utilisateurs seront également incluses ».

La société s’est également engagée à « publier des informations sur TOUS les logiciels que nous préchargeons sur nos PC qui expliquent clairement ce que fait chaque application ». [Emphasis original]. Ces plans, quant à eux, ne sont que le point de départ de futurs programmes ou projets non spécifiés dans le but d’améliorer la sécurité des appareils et de regagner la confiance des utilisateurs.

Une réponse mitigée

Le plan annoncé par Lenovo est excellent à certains égards et loin d’être suffisant à d’autres. La société continue de s’appuyer sur des non-déclarations farfelues qui détournent le blâme et obscurcissent le sens. La première phrase de sa dernière missive est :

Psssssst :  L'ADN peut désormais stocker des données de manière fiable pendant 2 000 ans ou plus - High-teK.ca

« Il y a un peu plus d’une semaine, le logiciel de découverte visuelle Superfish préchargé sur les ordinateurs portables grand public Lenovo à partir de septembre 2014 a suscité inquiétude et frustration parmi nos clients et les communautés de sécurité et de confidentialité. » La société recommande ensuite aux utilisateurs de consulter Lenovo.com pour savoir comment supprimer Superfish. Voyons donc comment ces informations sont transmises.

L’image ci-dessous montre Lenovo.com (à 67 % de la taille native pour tenir toute la page en une seule capture d’écran). Développez l’image à 100 % et vous verrez que la « Déclaration sur Superfish » est enterrée sous le pli, au bas de la page. Ce n’est pas comme ça qu’on traite un vrai problème.

LenovoSite Web

Voici à quel point Lenovo prend ce problème au sérieux. Ce morceau de texte orange est la seule mention de Superfish.

Comparez cela avec le texte réel de l’entreprise avec cette réponse (hypothétique) : « Il y a une semaine, des chercheurs en sécurité ont découvert des vulnérabilités de sécurité critiques dans le logiciel Superfish Visual Discovery que Lenovo a préchargé sur les ordinateurs portables de septembre à janvier 2014. » Toute la stratégie de Lenovo au niveau des relations publiques a été de minimiser ce défaut et le jouer sur une poignée de chercheurs en sécurité, bien que des cadres individuels ont pris plus de responsabilités dans les entretiens. De plus, il est maintenant prouvé que le logiciel Komodia Superfish s’est appuyé sur a été exploité à l’état sauvage.

Selon l’EFF, l’Observatoire SSL décentralisé contient plus de 1600 entrées de certificats invalides que les systèmes infestés de Komodia auraient dû rejeter, mais ne l’ont pas fait. Les domaines concernés comprenaient Google, Gmail, Yahoo, Login.Yahoo.com, Bing, Windows Live Mail, Amazon, Ebay, Twitter, Netflix et plusieurs sites Web bancaires. Certains de ces certificats peuvent avoir été invalides par inadvertance, mais l’EFF pense qu’il est très peu probable qu’ils le soient tous.

Psssssst :  Le téléchargement compromis de phpMyAdmin renforce l'importance de la vérification des sommes de contrôle

Dans ce contexte, l’offre de Lenovo d’un abonnement de six mois à un service anti-virus est insultante par rapport à la valeur des données personnelles éventuellement volées ou interceptées.

En revanche, le plan à long terme de l’entreprise visant à éliminer les logiciels publicitaires et les bloatwares sera bien accueilli. Ces programmes ont saccagé les installations de Windows pendant des décennies et ont laissé des ordinateurs flambant neufs comme des machines vieilles de cinq ans. Aussi heureux que je sois de voir ces changements à long terme, je reste fondamentalement sceptique quant au fait que Lenovo ait fait face à l’ampleur de sa propre erreur. Jusqu’à ce qu’il le fasse, je ne recommanderai pas son matériel à quelque fin que ce soit.

Bouton retour en haut de la page