• AgoraVox sur Twitter
  • RSS
  • Agoravox TV
  • Agoravox Mobile

Accueil du site > Tribune Libre > Lenovo paie 3,5 millions de dollars pour régler à l’amiable (...)

Lenovo paie 3,5 millions de dollars pour régler à l’amiable l’affaire Superfish

Comprendre "Superfish" c'est aussi comprendre qu'aujourd'hui, on peut parfaitement intercepter vos communications, y compris les communications dites "sécurisées". Si un vulgaire adware peut le faire, les agences étatiques aussi !

Le constructeur chinois et géant de l'informatique Lenovo a conclu un accord avec la Federal Trade Commission pour mettre fin aux poursuites entamées par celles-ci concernant l'affaire « Superfish ».

Mardi 5 septembre - Conférence de presse de la Federal Trade Commission

Lors d'une conférence de presse, Mme Maureen K. Ohlhausen (présidente faisant fonction) déclarait que Lenovo Inc., l'un des plus gros fabricants d'ordinateurs, avait accepté de régler à l'amiable l'affaire dite Superfish, devant la FTC et 32 procureurs d'État ; reconnaissant que la société avait mis en danger la sécurité des utilisateurs en préinstallant le logiciel VisualDiscovery sur un certain nombre d'ordinateurs portables.

L'affaire avait débuté en août 2014 quand Lenovo avait commencé à vendre des laptops aux États-Unis qui étaient livrés avec une version préinstallée d'un logiciel appelé VisualDiscovery qui possédait toutes les propriétés d'un proxy de type man-in-the-middle (l'homme au milieu). Ce logiciel était édité par la société Superfish, qui donnera son nom à l'affaire.

En quoi ce logiciel menaçait-il la sécurité ?

Lorsque vous vous connectez à un site sécurisé, disons votre banque, vous le faites via le protocole HTTPS signalé par un petit cadenas dans la barre de votre navigateur.

Dès cet instant, toutes les communications entre votre navigateur et le serveur de la banque passeront « sous tunnel », elles seront encryptées point à point et ne pourront en aucune façon être interceptées en chemin. C'est bien le moins, vous en conviendrez.

Le logiciel VisualDiscovery, quant à lui, était un adware destiné à vous faire « manger » un maximum de publicités contextualisées, et pour les adapter au contexte, justement, il interceptait les communications entre le client et les sites qu'il visitait. Mais dans ce cas précis, cela allait beaucoup plus loin puisque le programme était en mesure d'intercepter également les communications sécurisées, et c'est là qu'il a allègrement franchi les limites de la légalité !

Comment cela est-il possible ?

Quand vous vous connectez à votre banque, la communication étant sécurisée, votre navigateur va s'assurer que le certificat du serveur auquel il se connecte correspond bien au propriétaire du domaine, par exemple ing.be. Le Spyware préinstallé jouissait quant à lui d'un atout de taille : il venait avec un certificat « root » préinstallé, une autorité de certification, en somme.

Ainsi, quand l'utilisateur souhaitait par exemple se connecter à ing.be, le maliciel (il faut bien l'appeler ainsi) créait à la volée un certificat qu'il signait avec sa propre autorité de certification, interceptait les données, opérait la véritable requête pour l'internaute auprès du serveur (ing.be), puis au retour interceptait à nouveau les données et les transmettait (possiblement avec ses propres publicités contextualisées) à l'internaute. C'est ce qu'on appelle un proxy, avec ceci de particulier que c'est un proxy HTTPS.

On peut difficilement faire pire en termes d'éthique et c'est là sans doute qu'il faut chercher la raison pour laquelle Lenovo a préféré payer 3,5 millions de dollars que de risquer d'aller au procès.

Fin de l'affaire ?

Non, pas vraiment, Lenovo a juste réussi à stopper les poursuites entamées à son encontre qui auraient pu mener à un procès retentissant aux États-Unis, mais au prix de reconnaître explicitement sa responsabilité dans cette affaire.

Il n'est nullement exclu que la Commission Européenne ou des particuliers puissent à leur tour, sur cette base, intenter des procès et réclamer des dommages-intérêts au géant chinois pour violation délibérée du droit à la vie privée et mise en danger d'intérêts, voire de personnes.

Parce qu'en Europe aussi, le logiciel a été installé sur des laptops vendus par Lenovo, je le sais pour l'avoir désinstallé manu militari de 3 laptops haut de gamme modèle Yoga 2 Pro que j'avais commandé dans le cadre de mon boulot.

Références : 

 


Article original sur LeVilainPetitCanard
Page Facebook

Moyenne des avis sur cet article :  5/5   (12 votes)




Réagissez à l'article

69 réactions à cet article    


  • ZXSpect ZXSpect 6 septembre 2017 16:42

    Merci pour cet article clair et documenté.


    Ca c’est de l’info et de la vulgarisation de qualité.

    un geek plus très jeune mais toujours passionné

    • Philippe Huysmans Philippe Huysmans 6 septembre 2017 19:09

      @ZXSpect

      Merci pour vos encouragements. Beaucoup avaient publié sur la question mais reprenaient la même chansonette ne parlant pas du tout des implications pratiques pour les utilisateurs, peut-être parce qu’ils n’en comprenaient pas le fonctionnement.

      J’ai donc essayé de mettre l’accent sur les aspects qui peuvent intéresser tout le monde, parce que chacun peut se faire dérober ses données de la sorte : cela peut être un malware, un programme de contrôle/espionnage en entreprise, un programme placé par des services secrets pour tenir des activistes sous la loupe, etc.

      On l’utilise aussi en programmation pour déboguer, mais là c’est en local, et c’est nous-même qu’on espionne, c’est tout de suite moins grave smiley

      J’ajoute que quand c’est le cas, si vous regardez le détail du certificat (cliquer sur le cadenas), vous vous apercevez que le signataire du certificat qui encrypte les communications https n’est pas l’habituel, mais porte le nom de l’autorité de certification installée sur la machine... cela devrait mettre la puce à l’oreille.

      Et il existe des addons firefox qui permettent de vérifier qu’une autorité de certification ne change pas d’une connexion à l’autre.

      A plus,

      Philippe


    • gaijin gaijin 7 septembre 2017 09:47

      @Philippe Huysmans
      " Et il existe des addons firefox qui permettent de vérifier qu’une autorité de certification ne change pas d’une connexion à l’autre."
      c’est lesquels
      ( désolé y a des nuls ....dont moi ..... smiley )


    • Philippe Huysmans Philippe Huysmans 7 septembre 2017 10:33

      Bojour @gaijin

      L’addon que j’utilisais s’appelait Certificate Patrol, seulement voilà il semble qu’il ne soit plus compatible avec la dernière version de firefox :

      https://addons.mozilla.org/fr/firefox/addon/certificate-patrol/

      S’il y en a d’autres, cherchez sur le mot clé HPKP et « certificate change », là je suis en train de bosser sur un projet.

      L’idée est de vérifier que le certificat qui a signé le bloc d’authentification côté serveur n’a pas changé par rapport à ce que vous aviez avant.


    • Doume65 8 septembre 2017 01:09

      @gaijin
      Un addon, c’est un module complémentaire à ajouter à un navigateur. Celui dont parle Philippe a été réalisé pour Firefox ; Si tu utilises ce navigateur, tu fais la combinaisons de touches Ctrl + Maj (Shift) + A (y’a d’autres moyens, mais c’est le plus court). Une page s’ouvre dans un nouvel onglet.. En haut à droite, un champ de recherches. Tu y tapes « Certificat » (ou tout ce que tu recherches d’autre) et tu valides par la touche entrée (ou un clic sur la loupe). Une liste de modules s’affiche. Tu peux en installer un tout simplement en cliquant sur le bouton installer disponible pour chaque module. Je pense que celui dont parle Philippe est CheckMyHttps. Mais je n’en suis pas sûr. Voilà ce qu’on peut lire dans la description :

      CheckMyHTTPS s’assure que vos connexions HTTPS ne sont pas détournées (et donc écoutées).Comment fonctionne-t-elle ?
      Au lancement de votre navigateur, un premier test est effectué sur le site checkmyhttps.net afin d’initialiser la couleur du cadenas :
      - Le cadenas est vert : votre connexion n’est pas compromise
      - Le cadenas est rouge : votre connexion est considérée comme très risquée (écoute ou détournement)
      Lors de votre navigation sur des sites sécurisés (site en « https://... »), vous pouvez à tout moment revérifier l’état de la connexion en cliquant sur le cadenas de l’extension.

      Respect de ma vie privée :
      L’extension CheckMyHTTPS n’a besoin que des paramètres suivants lors d’une vérification :
      - Le nom de domaine du site visité ;
      - L’empreinte numérique du certificat que ce site a envoyé à votre navigateur.

      Détails techniques :
      Normalement, avant de chiffrer une connexion HTTPS, un site Internet sécurisé doit prouver son identité à votre navigateur en lui envoyant son certificat. On peut considérer ce certificat comme un genre de carte d’identité délivré par des autorités supérieures (Certificate Authorities). Il existe plusieurs techniques d’usurpation à base de faux certificats (fausses cartes d’identité) ou à base d’homographes (faux noms) afin de faire croire qu’un site « pirate » est le site légitime que vous pensez être en train de visiter. Ces techniques permettent aux sites pirates de récupérer vos informations privées.
      CheckMyHTTPS permet de déceler ce genre de pratiques qui peuvent être mises en œuvre sur des points d’accès WI-FI ouverts (hôtels, centres de conférences, etc.) ou même au sein de votre entreprise (SSL Inspection). Pour détecter cela, il compare le certificat reçu par votre navigateur avec le certificat du site récupéré par un serveur situé sur Internet. Si les certificats diffèrent, on peut considérer que l’identité du serveur est usurpée (cadenas rouge).


    • Clemoutch 7 septembre 2017 08:48

      Merci pour cet article !

      Par contre j’ai pas compris c’est hardware ou software ?

      Est ce typiquement le genre de problèmes que l’on peut retirer en re-installant un OS a la reception du PC ?


      • Philippe Huysmans Philippe Huysmans 7 septembre 2017 09:40

        Bonjour @Clemoutch,

        C’est typiquement software, et c’est un logiciel préinstallé, ainsi qu’un certificat racine dans la partie « autorités de certifications » de la machine, elle vaudra donc pour tous les utilisateurs.

        Dans ce cas, il y a lieu de désinstaller le soft ce qui n’était déjà pas trop simple, puis de virer le certif racine qui se trouve dans le certificate store.

        D’une manière générale, quand je commande des PC, je vire TOUS les logiciels préinstallés, parce que c’est de la m... et que ça ralentit les machines.

        Ici je n’ai abordé que cela, sans parler des crasses que l’on pourait mettre : directement dans des processeurs, des contrôleurs, le micrologiciel d’un contrôleur (des petits gars sont même parvenus à y installer un chti linux, c’est dire qu’on peut), etc.

        Notez que face à des logiciels espions placés dans le hardware, vous êtes pratiquement sans armes, en slip, au milieu du champ de bataille.

        La « sécurité informatique » aujourd’hui c’est l’État et ses agences qui essaie de rendre ce genre d’exploit difficile pour le commun des mortels et les autres agences, tout en se garantissant, à elles, un accès facile. Un gruyère dont les trous sont plus ou moins dans l’ombre.

        Je dirais donc en conclusion que la sécurité informatique EST réelle si vous encryptez votre document à partir d’un ordinateur non susceptible d’avoir été vérolé au niveau hard, genre commodore 64. Pour les ordinateurs récents, les smartphones et autres « devices », à partir du moment où c’est « possible », comment leur faire confiance ?

        Pour prendre un exemple concon, vous avez moins de chances de vous faire intercepter et décrypter un message que vous auriez encrypté à la main sur le coin d’une table avec Vigenère et une clé suffisemment longue, puis recopié et envoyé par la poste que d’utiliser des applications qui « protègent votre vie privée et encryptent les données », telles Whatsapp ou Signal.


      • Alren Alren 7 septembre 2017 16:57

        @Philippe Huysmans

        Merci pour cet exposé très clair avec les compléments que vous avez fournis dans les commentaires.

        Ma nouvelle machine a été constituée par des « morceaux » séparés : microprocesseur, barrettes mémoire, disque dur Sata, etc. choisi un par un.

        Et mon monteur n’a installé que Linux et les programmes Linux.

        Dois-je craindre un piratage de mes données ?


      • pemile pemile 7 septembre 2017 17:03

        @Alren « Dois-je craindre un piratage de mes données ? »

        La principale faille de sécurité c’est l’utilisateur ! smiley


      • pemile pemile 7 septembre 2017 17:12

        @Alren

        Plus sérieusement, par exemple, si votre carte mère est équipée d’un agent AMT, oui !

        https://infogerance-linux.net/2017/retour-sur-la-faille-de-securite-dintel-amt/


      • Philippe Huysmans Philippe Huysmans 7 septembre 2017 17:17

        @pemile

        C’est patché depuis une éternité, et personne n’oblige à activer ces merdasses, tout d’abord. Je ne l’ai jamais fait sur mes serveurs.


      • pemile pemile 7 septembre 2017 17:21

        @Philippe Huysmans « personne n’oblige à activer ces merdasses, tout d’abord. »

        Personne n’invite à vérifier si elles sont installés et à les désactiver, plutot !


      • Philippe Huysmans Philippe Huysmans 7 septembre 2017 17:23

        @Alren

        Pas précisément, mais je dirais que le risque de piratage est directement proportionnel à l’exposition des personnes, autrement dit, si vous travaillez dans une entreprise « sensible », ou que vous êtes syndicaliste, ou activiste politique, je dirais que les risques grimpent en flèche.

        Je crois que la menace pour les prochaines décennies sera dans les circuits ajoutés (et cachés) dans des contrôleurs et les microprocesseurs. Contre ça, vous pouvez juste aller à Lourdes, ça peut pas faire de tort si ça ne fait pas de bien.

        Ceci dit, une machine « produit blanc » avec une distro linux standard genre Ubuntu ou Debian (pour les warriors) ça reste quand même ce que je vois de plus solide. Un bon choix. Économique, aussi.


      • Philippe Huysmans Philippe Huysmans 7 septembre 2017 17:24

        @pemile

        Ne l’étaient pas, pas plus que l’équivalent sur la série HP ex compaq. C’est à vous de le configurer, ne serait-ce que pour les paramètres réseau !


      • pemile pemile 7 septembre 2017 17:39

        @Philippe Huysmans « Ne l’étaient pas »

        Il me semblait qu’elle est activé par défaut sur les cartes mères ASUS ?

        Dans le cas d’Alren où une personne lui à « préparer » sa machine, reconnaissez que cette vérif est bien à faire et à sa charge, non ?


      • Philippe Huysmans Philippe Huysmans 7 septembre 2017 18:49

        @pemile

        Ce genre d’outils à la con n’est dispo que sur les gammes serveur, de marque, et supposent un bios particulier (deux différents, si je ne me trompe pas).

        Aucun danger de trouver ça sur l’ordi de Mr. Nobody, et pour en être sûr, il suffit d’aller se promener dans le bios.

        Autre chose, ce genre de programmes ne peut être actif à travers le Wan si votre box est configurée correctement du point de vue firewall.

        C’est juste négligeable.


      • pemile pemile 7 septembre 2017 19:04

        @Philippe Huysmans

        Mais non, regardez déjà chez Asus le nombre de modèles concernés en plus par la faille de sécurité de l’AMT d’intel (08/07/2017 remote privilege escalation)


      • Philippe Huysmans Philippe Huysmans 7 septembre 2017 19:08

        @pemile

        Dans tous les cas seulement si c’est activé et si le firewall permet les connexions de l’extérieur. Pas de quoi devenir parano non plus.

         smiley


      • pemile pemile 7 septembre 2017 19:17

        @Philippe Huysmans

        j’ai du mal à vous suivre,un utilisateur lambda n’a pas le niveau de connaissance nécessaire pour comprendre l’implication de ses paramétrages (box sans routage activé par exemple) et l’AMT que ce soit Linux ou Windows passe en dessous des firewall.

        Pour moi, c’est le même genre de problème que l’installation de Superfish, l(utilisateur n’a pas les connaissances nécessaires pour comprendre les l’implication de ses manips.


      • Philippe Huysmans Philippe Huysmans 7 septembre 2017 19:22

        @pemile

        Rien à configurer, par défaut, une box n’autorise aucune connexion entrante, point. C’est un mur. Pas besoin d’avoir fait X pour « configurer » ça. Il n’y a rien qui passe « en dessous » d’un firewall parce que précisément il agit au niveau le plus bas de la connexion. Seule exception, c’est si c’est l’ordinateur lui-même qui initie la connexion (sortante, alors, non firewallée).


      • pemile pemile 7 septembre 2017 19:26

        @Philippe Huysmans « Il n’y a rien qui passe « en dessous » d’un firewall parce que précisément il agit au niveau le plus bas de la connexion »

        Mais si, avec l’AMT cela ce passe sous l’OS !

        Quand au box, ma freebox après longue coupure de courant s’est retrouvée plusieurs fois avec le routage désactivé et donc le premier poste connecté avec l’IP publique.


      • Philippe Huysmans Philippe Huysmans 7 septembre 2017 19:32

        @pemile

        Par firewall j’entends bien la BOX, hein, pas le PC. D’ailleurs ces programmes sont activés au niveau du bios bien avant l’OS.

        Mais les box, jusqu’à preuve du contraire, sont configurées pour ne rien laisser entrer par défaut.

        Ce que vous dites sur le routage n’a pas de sens, seule la box a une adresse IP publique, les autres sont en NAT (adresses locales en DHCP ou pas), sauf si vous configurez une machine en DMZ.


      • pemile pemile 7 septembre 2017 19:57

        @Philippe Huysmans « Ce que vous dites sur le routage n’a pas de sens, seule la box a une adresse IP publique, les autres sont en NAT »

        Eh non, chez Free, le routage n’est activé par défaut que sur la revolution, pas sur la chrystal ou la HD


      • Philippe Huysmans Philippe Huysmans 7 septembre 2017 20:05

        @pemile

        Et vous allez me faire avaler qu’elle est en DMZ ? C’est fermé, closed.

        Bon, cette discussion n’a plus grand-chose à voir avec le sujet de l’article, vous en conviendrez.

        Bonne soirée,

        Philippe


      • pemile pemile 7 septembre 2017 20:10

        @Philippe Huysmans « Et vous allez me faire avaler qu’elle est en DMZ ? »

        Il ne s’agit même pas de DMZ, sans le routage activé elle se comporte comme un pont, le poste client a l’adresse IP publique.


      • Philippe Huysmans Philippe Huysmans 7 septembre 2017 20:24

        @pemile

        Jamais dans le sens extérieur->intérieur, sauf DMZ, bonne soirée.


      • pemile pemile 7 septembre 2017 20:26

        @Philippe Huysmans « Jamais dans le sens extérieur->intérieur, sauf DMZ, bonne soirée. »

        Vous êtes têtu !

        C’est effectivement hors sujet (mais cela répond à la question d’Alren) mais renseignez vous avant d’affirmer !

        Bonne soirée aussi !


      • Ouam Ouam 8 septembre 2017 01:24

        @Philippe Huysmans
        sisi sur ce coup la permile à raison (pour les boxs de chez free( y compris la v5)
        je sais, j’en ai une, t je me suis fait presque toute la serie des freebox(s).

        il y a effectivement le 5eme port (dmz) qui lui sera ouvert meme si on est en mode NAT.

        il est evident que je suis passé en mode nat plus un refus de tout sauf ce que j’ai volontairement ouvert (ftp 21 etc...)

        pour revenir a votre article, je suis entierement d’accord avec vos remarques sur les controleurs divers qui peuvent etrent vérolés, et pas seulement par es constructeurs, mais aussi par des tiers
        qui peuvent meme reprogrammer le firmware (ou ceetains espaces mémoires dédiés) d’une carte reseau, et ce le pire c’est que cala resiste meme à une virtualisation.
        Les hds c’est pire, certaines cartes controleurs peuvent etrent aussi hotes d’espace pour du code, et la ben avoir un hardware « clean » ne garantit plus rien ... hélas.
        le seul truc c’est comme vous dites, un vieux pc qui date bien (hd de l’époque compris) et de préférence un modèle peu connu.
        Moins il est connu (bios etc) moins les failles sonts dirons nous « interessantes » pour un « parc » donné.
         
        j’ai ca dans un coin chez moi et toujours actif, on sait jamais ...
        bon pas l’commodore ou l’oric atmos...la on est dans le dinosoresque smiley

        Pour en revenir aussi auxs laptops vendus de chez asus,et certainement d’autres vous avez aussi raison
         c’est une veritable catastrophe (le nombre de merdes pré-installées) qui pourrissent les perfs de la machine, et dans ce cas, le nombre est si grand que penser à un nettoyage...ben ...
        le plus rapide est
        1) de regarder exactement le matériel contenu dedans (je parle ici d’un portable pas d’un pc de bureau)
        2) de se récuperer un programme gratuit et super qui se nomme :
        rt7lite_2_6_0b_win7_Vista_x86_sp1
        et qui permet de se re-construire un cd de windows en virant deja bcp de choses, et par consequent d’alleger un peu ses failles de sécurité.et en complétant par la suite les dernières
         choses à faire, j’ai pas mieux à proposer pour du harware récent (i7 & co) en restant sous win (7)

        apres celui qui passe sous w10...
        ben la...il file les clefs de la boutique auxs us smiley

        c’est dommage pour les asus, parce que c’est un des (trop) rares constructeurs à avoir es drivers bien rangés, classés, des maj de drivers etc... alors que chez d’autres chercher un drv releve parfois de l’exploit.

        bonne journée, et merci pour l’article, ouam


      • Doume65 8 septembre 2017 01:34

        @Philippe Huysmans
        « Aucun danger de trouver ça sur l’ordi de Mr. Nobody, et pour en être sûr, il suffit d’aller se promener dans le bios. »
        Y’a plus de Bios ! (plus de possibilité de gérer les IRQ non plus smiley. Vive l’UEFI !


      • Philippe Huysmans Philippe Huysmans 8 septembre 2017 09:41

        @Ouam

        DMZ par défaut : oh pitain, c’est pire que la Corée du Nord !

        Pour l’install windows : oui mais la plupart des machines que j’installe c’est avec les licences de chez Bilou-les-Fenêtres, du coup, je ne peux pas utiliser autre chose que le dodoze qui est dessus.

        Alors en général, je vire les crasses, je baque quelques services, je préconfigure ce qui sera nécessaire une fois dans le domaine, je préinstalle les logiciels dont j’aurai besoin, puis je clone pour réaliser une install sur chaque machine livrée.

        Ensuite, personnalisation de chaque machine dans le domaine pour l’utilisateur concerné.

        Quand je ne suis pas obligé de m’en tenir à la version installée, je fais comme vous, je prends la liste des drivers dont j’aurai besoin, je les télécharge, je repartitionne le disque, je fais une « fresh install » puis je remets les drivers, etc.


      • pemile pemile 8 septembre 2017 10:27

        @Philippe Huysmans « DMZ par défaut : oh pitain, c’est pire que la Corée du Nord ! »

        Ce n’est pas une DMZ, sans routage activé ces box fonctionnent comme des ponts (mode bridge que l’on peut activer sur la révolution)


      • Alren Alren 8 septembre 2017 19:19

        @Philippe Huysmans

        Merci pour votre réponse claire ... et rassurante !


      • Vraidrapo 7 septembre 2017 10:34

        Il n’est nullement exclu que la Commission Européenne ou des particuliers puissent à leur tour, sur cette base, intenter des procès et réclamer des dommages-intérêts au géant chinois

        En UE on se refuse à faire de la peine aux Grands. Exemple de l’Irlande qui refuse les Mds $ que la Court Européenne de Justice lui avait obtenu d’Apple pour fraude fiscale...
        Les Yankees avaient eu moins de scrupules avec notre BNPParibas... les baisés comptez-vous, de ce côté de l’Atlantique. Et il y en a encore parmi les fans du pays du chouingum qui vont trouver ça normal...


        • Philippe Huysmans Philippe Huysmans 7 septembre 2017 11:11

          @Vraidrapo

          Possible en effet, mais rien n’empêche des particuliers qui estimeraient avoir été lésés d’intenter des procès au civil, dans la mesure où Lenovo a déjà reconnu sa responsabilité.

          Qui dit responsabilité... dit réparation.


        • Aristide Aristide 7 septembre 2017 11:54

          @Philippe Huysmans


          Oui, mais pour avoir réparation il faut démontrer et chiffrer le préjudice. Dans ce cas de « vol de données », la démonstration est plus que difficile, il faut détailler tous les éléments, les dates, les données,, ... en fait, et surtout démontrer que les données volées ont entraîné un préjudice, vol sur carte bleu, etc ...

        • Philippe Huysmans Philippe Huysmans 7 septembre 2017 11:57

          @Aristide

          Une bonne partie du préjudice étant caché parce que le détournement de données se faisait à l’insu de l’utilisateur mais à l’initiative de Lenovo qui l’avait permis, je ne suis pas si sûr qu’il faille rentrer dans les détails.

          Le préjudice ici n’est pas tant que ceci aurait conduit à ce que quelqu’un vous aurait dérobé des données confidentielles mais que Lenovo a sciemment donné les moyens à un tiers de le faire. Vous voyez la nuance ?


        • Aristide Aristide 7 septembre 2017 12:24

          @Philippe Huysmans


          Je parle de préjudice en droit. Le préjudice ne peut être caché par définition, il doit être qualifié et démontré. 
          Qu’il existe un risque accru de vols de données est incontestable et le tribunal condamnera la société pour cela, mais la réparation d’un préjudice ne peut se faire que si le plaignant en démontre la causalité, les conséquences et surtout chiffre le préjudice. 

          Il n’y a pas de réparation sans préjudice avéré et démontré. Et en la matière, si la démonstration est pratiquement impossible, le chiffrage l’est encore plus. Un tribunal ne condamnera jamais pour un risque potentiel mais sur la base du préjudice subi.

        • Philippe Huysmans Philippe Huysmans 7 septembre 2017 12:41

          @Aristide

          Hum hum, quand le vice est caché, le préjudice aussi, cela ne veut pas dire qu’il n’existe pas, c’est juste qu’en pareil cas, la prescription courra seulement à partir du moment où le vice caché sera révélé.

          Et vous faites comment, pour établir qu’on aurait pu vous dérober vos données alors même que vous avez peut-être mis ce laptop à la poubelle ou revendu ?

          Or soyons clair, qui avait accès à l’application pouvait retomber sur la clé privée du certificat root et à son tour signer des certificats https pour tel ou tel domaine de son choix, parce que la clé est forcément accessible à l’appli superfish.


        • Aristide Aristide 7 septembre 2017 14:21

          @Philippe Huysmans

          Le vice caché est une tout autre notion, maintenant voilà, la réparation du préjudice est une notion précise et dans ce cas le plaignant aura toutes les peines du monde à démontrer ce préjudice ... C’est tout ce que j’ai dit.

          PS : La notion de vice est bien précise en droit, rien à voir avec ce logiciel, un vice est un mauvais fonctionnement de l’objet au sens ou il ne fournit pas l’entièreté des fonctions attendues, il est dit caché si lors de l’acquisition il n’était pas décelable. En l’occurrence il s’agit plus de « tromperie ».

        • Lem Civa 7 septembre 2017 11:20

          Euh comment le dire ? Les Chinois sont littéralement des obsédés de l’espionnage industriel. Aucune entreprise européenne sensée ne devrait acheter du matériel chinois...


Ajouter une réaction

Pour réagir, identifiez-vous avec votre login / mot de passe, en haut à droite de cette page

Si vous n'avez pas de login / mot de passe, vous devez vous inscrire ici.


FAIRE UN DON






Les thématiques de l'article


Palmarès