Lenovo, 3,5 millions de dollars d’amende et 20 ans de surveillance

Le constructeur Lenovo est à l’origine d’une sale affaire de surveillance massive de ses clients. Le groupe vient d’accepter de payer 3,5 millions de dollars d’amende à la Federal Trade Commission.

Dans un but financier, Lenovo a autorisé la firme Superfish d’installer un bloatware nommé VisualDiscovery sur des centaines de milliers de ses ordinateurs en août 2014. Ce logiciel a permis de collecter à l’insu des utilisateurs des tas de données allant d’identifiants de connexion à des numéros de sécurité sociale.

Cet espionnage massif a été découvert et Lenovo a admis un an plus tard son erreur. Un outil dédié a alors été publié afin de supprimer ce bloatware. A l’époque le groupe avait fait profil bas en soulignant que sa collaboration avec Superfish avait été une «erreur importante». Il a alors été promis qu’à l’avenir plus aucun logiciel malveillant ne serait installé.

Bien qu’une faute avouée et à moitié pardonnée, la Federal Trade Commission et 32 ​​Etats américain ont décidé de ne pas en rester là et l’affaire a été portée en justice.

Lenovo, une amende et 20 ans de surveillance

Les différentes parties viennent de trouver un accord. Lenovo accepte de régler une amende de 3,5 millions de dollars pour dédommager les clients lésés.

Dans le cadre de cette affaire, la firme est désormais l’interdiction de fausser les fonctionnalités de certains logiciels préchargés. Ceci concerne par exemple les manœuvre douteuses d’injecter de la publicité dans les navigateurs Internet.  En d’autres termes, Lenovo n’a plus la possibilité de mentir à ses utilisateurs. La firme doit dévoiler chaque fonctionnalité proposée par les différentes applications préinstallées.

En outre, tous appareils Lenovo commercialisés au cours des 20 prochaines années devront être accompagnés d’un logiciel de sécurité préinstallé. Il fera l’objet d’un audit de sécurité tiers et surtout exigera le consentement explicite des consommateurs si des logiciels publicitaires sont prévus pour être activés.

L’entreprise déclare

“Bien que Lenovo ne soit pas d’accord avec les allégations formulées dans ces plaintes, nous sommes heureux de mettre un terme à cette affaire après deux ans et demi”

Une manœuvre connue et exploitée par Microsoft

La Federal Trade Commission a également révélé la procédure exploitée par Superfish pour tromper l’utilisateur. L’idée n’est pas une nouveauté puisqu’elle a été exploité à grande échelle par un autre géant qui n’est autre que Microsoft avec son application « Get Windows 10 ».

Terrell McSweeny de la FTC explique que le logiciel VisualDiscovery de Superfish était déclenché lors d’une visite de l’utilisateur sur une boutique en ligne. A l’aide d’une fenêtre contextuelle, une fausse demande d’activation a été mise en place. L’utilisateur n’avait en réalité pas le choix. En cas de refus, la fermeture de la fenêtre avec le célèbre bouton “X” dans le coin supérieur gauche, n’avait aucun effet mieux son usage était perçu comme une acceptation.

Microsoft est à l’origine de la même approche de tromperie avec sa fameuse application “Get Windows 10”. Sa fermeture avec le bouton X n’était pas considérée comme un refus. La fermeture de la notification enclenchait le téléchargement automatique des fichiers d’installation du système d’exploitation.

Microsoft a également admis que sa démarche a été une erreur.  La comparaison s’arrête cependant là avec Superfish. Cette entrepris a en réalité développé une logiciel bien plus fourbe et trompeur capable de faire des choses néfastes et de la surveillance des données personnelles.