Lenovo s’en sort bien. En trouvant un accord avec les autorités antitrust américaines, le constructeur sort par la petite porte mais sans conséquences graves. Car souvenez-vous, à l’époque, l’affaire Superfish avait fait couler beaucoup d’encre en 2014-2015 : Lenovo préinstallait en fait sur ses ordinateurs portables un adware appelé VisualDiscovery mais baptisé Superfish du nom de l’entreprise qui l’a développé.
Cet adware permettait en fait de regarder le trafic Web des utilisateurs et de faire des recommandations produits de partenaires de Lenovo. Mais surtout, Superfish détournait les sessions web chiffrées et rendait les utilisateurs vulnérables à une attaque de type man-in-the-middle. Le logiciel installait un certificat auto-signé dans les connexions HTTPS pour intercepter le trafic chiffré pour chaque site web visité par un utilisateur. Lorsque l’utilisateur visitait le site HTTPS, le certificat du site était alors signé et contrôlé par Superfish et se présentait lui-même comme le certificat officiel du site web.
« Pas d’accord »
Dans sa plainte, la FTC (Federal Trade Commission) a notamment pointé du doigt ce mécanisme de dissimulation, et reproche donc à Lenovo d’avoir fait le maximum pour ne pas informer clairement les utilisateurs. Le constructeur s’en tire donc très bien aujourd’hui car il écope de bien peu : il devra appliquer une politique de sécurité stricte qui sera auditée tout au long des vingt prochaines années.
Mais le plus grave est peut-être ailleurs, dans le fait que le constructeur n’a pas compris ce qu’il a fait et n’a donc visiblement pas retenu la leçon. « Bien que Lenovo soit en désaccord avec les faits qui lui sont reprochés, nous fermons avec plaisir cette affaire qui dure depuis deux ans et demi », écrit-il dans un communiqué.