Discussion :

[air-dex]

J'infirme la news. J'ai un Lenovo Z50-70 qui a encore son Windows 8.1 d'origine et je n'y ai pas retrouvé le Superfish en question. Rien dans les programmes installés ni dans les services Windows. Je n'ai pas non plus le souvenir d'avoir désinstallé un tel programme ni d'avoir vu des popups indésirables (en même temps j'utilise Firefox pour surfer donc ça aide à ne pas le voir).

Mais si c'est vrai ailleurs alors oui c'est minable de la part de Lenovo et c'est le moins qu'on puisse dire.

Il a avait affirmé que le programme allait être retiré temporairement des ordinateurs via une mise à jour

Sans doute le temps que l'affaire se tasse. Il faudra donc être vigilant à l'avenir.

https://www.clevo.fr/shop/index.php/...les-clevo.html
(par exemple...)

Sauf que le geek il va vouloir le monter lui-même son PC.

Vous achetez un ordinateur avec windows, votre disque crash, et vous devez repayer un windows ? alors que vous avez déjà payé le windows qu'il y avait sur ce PC ?
Je me souviens d'une époque ou le CD d'xp était livré avec le matériel, c'etait juste "normal"
Ajourd'hui Dell continue de le faire sur sa gamme pro, j'ai ainsi pu installer mes windows payé sur une machine virtuelle (sur ma xubuntu)

+1. Ne plus fournir de quoi réinstaller la licence Windows acquise avec un nouveau PC est une honte. Comme le dit imikado, c'etait juste "normal" et cela aurait dû le rester. OSEF du support (l'époque voudrait que ce soit une clé USB, mais ceci est un autre débat) du moment qu'on a ce support externe pour la licence.

Certains disent ici qu'il est possible de récupérer le Windows et de le mettre sur un support bootable. C'est vrai mais seulement pour les versions Pro. Si vous avez acheté un PC avec Windows 8+ "Core" (donc pas Pro) et que vous n'avez pas la licence fournie sur un support externe avec le PC, alors vous l'avez dans l'os. C'est mon cas avec mon Lenovo et en tant qu'informaticien ça me gonfle. Vivement que les licences Windows 10 soient disponibles à la vente pour pouvoir faire une installation clean au possible, surtout sur mon Lenovo avec ce problème de Superfish qui rode (oui j'aurais pu prendre une licence Windows 8.1 mais cela ne vaut plus le coup AMHA).

Après rien ne vaut une licence achetée auprès de Microsoft. J'ai encore le souvenir de mon CD d'XP fourni avec mon PC de l'époque qui était tellement pourri (réinstallation tous les 6 mois) qu'il a fini par me faire passer à Vista au pire moment, avant le SP1. L'OS était pourri mais au moins je n'avais pas à tout réinstaller régulièrement.

[ZenZiTone]

Sinon, faites assembler vos PC, fixez vous même les règles…

Ouais, enfin c'est pas à la portée de tous les utilisateur ça ! Mais dans le même genre, acheter son PC auprès d'un professionnel de l'informatique qui saura vous livrer ce dont vous avez besoin plutôt qu'en grande distribution est déjà un grand pas... (C'est comme le pain : en super marché il est moins chère, mais on sais pas ce qu'il y a dedans )

[SuperLoic]

Sinon les iso de Windows sont disponible sur internet et vous pouvez réinstaller Windows avec .. Pas la peine de racheter une licence, y en a déjà une (OEM) avec le PC (et vous pouvez vous la faire rembourser si vous n'en voulez pas)

[imikado]

Ou ? Ou sont elles dispo ces iso ?

[Zirak]

Sinon les iso de Windows sont disponible sur internet et vous pouvez réinstaller Windows avec .. Pas la peine de racheter une licence, y en a déjà une (OEM) avec le PC (et vous pouvez vous la faire rembourser si vous n'en voulez pas)

Oui et non, il y a déjà eu cette conversation 150 fois sur le forum, tous les constructeurs ne rembourse pas la licence Windows.

Je suis globalement d'accord avec Imikado, mais il y a déjà eu ce débat plusieurs fois et je ne vois pas l'utilité de le refaire une énième fois, oui si on est pas trop difficile sur le matos que l'on veut, on peut se débrouiller pour avoir un pc sans OS, ou réussir à se faire rembourser, mais globalement, pour le commun des mortels (et pas seulement les gens plus avertis de ce forum), en général, tu achète ton pc avec ton OS fourni d'office, pas forcément remboursable, pas forcement réinstallable facilement et comme tu veux, etc

[vanskjære]

Attention avec les iso trouvé sur le net.
Elle ne seront pas forcément plus clean qu'un DVD générer par windows depuis la version préinstallé.

Sinon pour aller dans ce sens j'ai récemment réinstallé un windows 7 familliale via un iso récupérer par le sysadmin de ma boite sur msdn.
Une fois la clé usb bootable (le lecteur DVD est HS) créé j'ai pu faire l'installe avec la licence OEM sans problème.

[Nighty22Night]

Sinon faut acheter l'ordi sans Windows et installer une distribution Linux

[ZenZiTone]

Sinon faut acheter l'ordi sans Windows et installer une distribution Linux

Le problème n'est pas Windows (je parle bien du système d'exploitation) mais les accord entre Microsoft et les constructeurs qui pénalisent les utilisateurs.

[awak35]

Linux ?

[Aiekick]

après pareil scandale ? quel scandale ? la plupart des gens que je côtoie s'en foute complètement ou ne comprenne pas en quoi ces dangereux; ya pas que des informaticiens qui achète des pc. des qu'il on vue que ca concernainet la pub il se sont dit "bon bah c'est pas rien alors"
en plus en s'excusant tout de suite lenovo fait exploser la bulle très tôt.

[nchal]

Non mais j'ai l'impression que les lois ne compte que pour nous, petit prolo... Quand on voit que HSBC vont peut-être ne rien avoir (ou très peu) suite à la plus grande affaire de blanchiment d'argent oO Non mais vous comprenez, ils ont dit qu'ils étaient désolé... Ah bah mince, les mecs sont désolés, ils savaient pas et tout --'
Essaie de frauder 500 balles au fisc, tu vas danser un moment mais si tu fraudes 2-3 millions, ça passe. Comme on dit, plus c'est gros, plus ça passe...

[a028762]

C'est "marrant" qu'un constructeur de l'empire du milieu favorise l'infection des pc par une attaque "man-in-the-middle".
Bon, je sors ...
Olivier

[Chauve souris]

Je n'ai jamais aimé les portables. C'est ultra propriétaire et non démontable et c'est à jeter au moindre pépin technique. L'autonomie est dérisoire et la batterie chute rapidement à 50 % de sa capacité. En fait ils ne fonctionnent que sur le secteur. Le processeur est lamentable sinon il chaufferait trop. Ce qui n'empêche pas la CM de dégager au bout d'un an et demi (juste après la fin de la garantie). Et pour finir il y a un système installé, Windows en l'occurrence, dont on ne peut même pas changer de version en le réinstallant car tous les pilotes du système ne sont pas disponibles sur les sites des constructeurs (a contrario des fabricants de CM pour PC). Donc on peut leur installer un mouchard d'office, ça simplifiera le travail de la NSA.

Mais qu'est-ce que c'est bien d'avoir un portable ! On voit partout des pubs, pas spécialement de fabricants de portables au demeurant, des banques et autres avec des couples dégoulinants de bonheur, le portable sur les genoux assis sur le canapé du salon ou bien vautrés à plat ventre sur la moquette. Stéréotypes hyper rabâchés, mais ça marche, les gens n'achètent plus que ça, ça doit faire "jeune" alors que les PC fiables et évolutifs ça doit faire "vieux".

[nchal]

Je n'ai jamais aimé les portables. C'est ultra propriétaire et non démontable et c'est à jeter au moindre pépin technique. L'autonomie est dérisoire et la batterie chute rapidement à 50 % de sa capacité. En fait ils ne fonctionnent que sur le secteur. Le processeur est lamentable sinon il chaufferait trop. Ce qui n'empêche pas la CM de dégager au bout d'un an et demi (juste après la fin de la garantie). Et pour finir il y a un système installé, Windows en l'occurrence, dont on ne peut même pas changer de version en le réinstallant car tous les pilotes du système ne sont pas disponibles sur les sites des constructeurs (a contrario des fabricants de CM pour PC). Donc on peut leur installer un mouchard d'office, ça simplifiera le travail de la NSA.

Mais qu'est-ce que c'est bien d'avoir un portable ! On voit partout des pubs, pas spécialement de fabricants de portables au demeurant, des banques et autres avec des couples dégoulinants de bonheur, le portable sur les genoux assis sur le canapé du salon ou bien vautrés à plat ventre sur la moquette. Stéréotypes hyper rabâchés, mais ça marche, les gens n'achètent plus que ça, ça doit faire "jeune" alors que les PC fiables et évolutifs ça doit faire "vieux".

Tellement vrai. Le pire ce sont les gens qui ont un portable à 800€ (donc pas gaming et ni desktop, un genre d'hybride inutile, pas assez puissant pour les jeux et bcp trop puissant pour du word+facebook). Dans ma famille, je les force à prendre des bouses cosmiques à 300€ qui va leur permettre de faire de la bureautique au moins 5 ans (je passe chaque année avec anti-adware/malware/virus )

[air-dex]

Je n'ai jamais aimé les portables. C'est ultra propriétaire et non démontable et c'est à jeter au moindre pépin technique. L'autonomie est dérisoire et la batterie chute rapidement à 50 % de sa capacité. En fait ils ne fonctionnent que sur le secteur. Le processeur est lamentable sinon il chaufferait trop. Ce qui n'empêche pas la CM de dégager au bout d'un an et demi (juste après la fin de la garantie). Et pour finir il y a un système installé, Windows en l'occurrence, dont on ne peut même pas changer de version en le réinstallant car tous les pilotes du système ne sont pas disponibles sur les sites des constructeurs (a contrario des fabricants de CM pour PC). Donc on peut leur installer un mouchard d'office, ça simplifiera le travail de la NSA.

Mais qu'est-ce que c'est bien d'avoir un portable ! On voit partout des pubs, pas spécialement de fabricants de portables au demeurant, des banques et autres avec des couples dégoulinants de bonheur, le portable sur les genoux assis sur le canapé du salon ou bien vautrés à plat ventre sur la moquette. Stéréotypes hyper rabâchés, mais ça marche, les gens n'achètent plus que ça, ça doit faire "jeune" alors que les PC fiables et évolutifs ça doit faire "vieux".

Tellement vrai. Le pire ce sont les gens qui ont un portable à 800€ (donc pas gaming et ni desktop, un genre d'hybride inutile, pas assez puissant pour les jeux et bcp trop puissant pour du word+facebook). Dans ma famille, je les force à prendre des bouses cosmiques à 300€ qui va leur permettre de faire de la bureautique au moins 5 ans (je passe chaque année avec anti-adware/malware/virus )

Tellement faux. Mais quel ramassis d'idioties. Portable ou tour, un PC reste un PC, un composant reste un composant et un OEM qui ne met pas à dispositions les drivers pour la dernière version de Windows reste un OEM qui ne met pas à dispositions les drivers pour la dernière version de Windows.

Contrairement à ce qui est sous-entendu un PC portable peut être fiable et durer dans le temps. Mon précédent PC portable a duré 5 ans et il peut encore faire le job si nécessaire. Son prix ? 800 € (un peu moins) ! L'avantage de cette gamme de prix est que l'on y trouve des appareils avec des (très) bonnes configurations qui restent encore largement acceptables des années après. On peut faire du gaming sur un laptop à 800 €.

Après tour ou portable est une autre question. Chacun son truc. Il y en a pour tous les goûts, tous les besoins et à toutes les tailles. Mais en aucun cas les portables ne sont des sous-PC.

D'un point de vue purement d'image et de communication, je ne comprend pas comment aujourd'hui des entreprises grand public peuvent encore mettre des backdoors/adwares. Il y a quand même de fortes chances que le "parasite" soit découvert (et encore plus ici vu que l'adware ajoute des publicités), et le grand public est bien plus sensible à cela qu'avant notamment avec l'affaire snowden. Même si les répercutions seront surement faible pour Lenovo, pour moi c'est se tirer une balle dans le pied.

Ce qui est incompréhensible c'est que cet adware soit aussi facilement détectable. D'un point de vue image, OSEF pour eux car "pas vu, pas pris". Sauf qu'avec une telle solution technique ils ne pouvaient qu'être pris la main dans le sac.

[Shepard]

Tellement faux. Mais quel ramassis d'idioties. Portable ou tour, un PC reste un PC, un composant reste un composant et un OEM qui ne met pas à dispositions les drivers pour la dernière version de Windows reste un OEM qui ne met pas à dispositions les drivers pour la dernière version de Windows.

Contrairement à ce qui est sous-entendu un PC portable peut être fiable et durer dans le temps. Mon précédent PC portable a duré 5 ans et il peut encore faire le job si nécessaire. Son prix ? 800 € (un peu moins) ! L'avantage de cette gamme de prix est que l'on y trouve des appareils avec des (très) bonnes configurations qui restent encore largement acceptables des années après. On peut faire du gaming sur un laptop à 800 €.

Si on parle d'une tour achetée montée, alors je suis d'accord avec toi ... Sinon pour moi il n'y a juste pas de comparaison entre un PC portable et une tour ...

Un PC portable qui dure 5 ans sans changer la batterie, et avec les super heat pipes impossibles à nettoyer, franchement j'ai du mal à y croire :/

[benjani13]

Je n'ai jamais aimé les portables. C'est ultra propriétaire et non démontable et c'est à jeter au moindre pépin technique. L'autonomie est dérisoire et la batterie chute rapidement à 50 % de sa capacité. En fait ils ne fonctionnent que sur le secteur. Le processeur est lamentable sinon il chaufferait trop. Ce qui n'empêche pas la CM de dégager au bout d'un an et demi (juste après la fin de la garantie). Et pour finir il y a un système installé, Windows en l'occurrence, dont on ne peut même pas changer de version en le réinstallant car tous les pilotes du système ne sont pas disponibles sur les sites des constructeurs (a contrario des fabricants de CM pour PC). Donc on peut leur installer un mouchard d'office, ça simplifiera le travail de la NSA.

Je ne suis pas entièrement d'accord avec toi. Pour le côté non démontable et les différents défaut tout dépend de ton besoin. Si tu veux un PC portable de 300g et de 3mm d'épaisseur oui, tu auras une mini batterie et tu pourras rien démonter. Un plus gros boitier te laissera un peu plus de manœuvre (même si c'est vrai que les réparations reste très limité). Pour les pilotes pareille ça dépend. Perso j'ai un ASUS, acheté avec windows 8 dessus. Je l'ai formaté, mis un win7 et deux distrib linux en multi boot, j'ai eu aucun soucis.

Mais qu'est-ce que c'est bien d'avoir un portable ! On voit partout des pubs, pas spécialement de fabricants de portables au demeurant, des banques et autres avec des couples dégoulinants de bonheur, le portable sur les genoux assis sur le canapé du salon ou bien vautrés à plat ventre sur la moquette. Stéréotypes hyper rabâchés, mais ça marche, les gens n'achètent plus que ça, ça doit faire "jeune" alors que les PC fiables et évolutifs ça doit faire "vieux".

Certes c'est ridicule (et encore plus pour les tablettes je trouve), mais tu peux remplacer le portable par un téléphone, une chaise de jardin ou un paquet de chips c'est pareille pour toutes les pubs.

[Michael Guilloux]

Superfish : Lenovo à la reconquête de la confiance de ses clients
L'entreprise réitère ses excuses et annonce un « plan concret » pour sauver son image

Lenovo essaie de remettre de l'ordre dans la maison après le passage de la tornade Superfish. Le fabricant N°1 de PC vient encore une fois de présenter ses excuses à ses clients, sans oublier de présenter tous les efforts qu'il fait pour éliminer toute exposition liée à l'adware Superfish.

Pour rappel, depuis septembre 2014, Lenovo a commencé à livrer le logiciel publicitaire Superfish avec ses PC grand public. Contrairement aux résultats attendus, l'adware n'a servi qu'à détériorer l'expérience des utilisateurs.

En effet, en plus d'injecter des annonces publicitaires indésirables dans les pages web visitées par les utilisateurs sans leur consentement, Superfish pourrait favoriser les attaques de l'homme du milieu, permettant ainsi à un tiers d'intercepter les données de navigation des utilisateurs.

Par ailleurs, le programme utilise un certificat autosigné qui lui permet de s'exécuter même lors des connexions sécurisées et espionner les communications chiffrées des utilisateurs. Ce certificat est en plus susceptible d'être exploité par un autre programme malveillant, après que l'adware ait été supprimé par l'utilisateur.

La situation va de mal en pis lorsqu'un expert en sécurité informatique parvient à déchiffrer la clé privée de Superfish avant de la publier sur le net. Cela implique, dès lors, qu'un tiers malveillant pourrait intercepter les communications chiffrées des utilisateurs de PC avec Superfish.

Face à ce problème qui a suscité de sévères critiques, le fabricant de PC a entrepris plusieurs actions pour réparer les dégâts.

La semaine dernière, l'entreprise a résolu d'abandonner l'installation de l'adware sur les PC sortants. Elle a par ailleurs défini une solution manuelle de désinstallation du logiciel publicitaire, avant de proposer un outil de désinstallation automatique juste avant le weekend.

Lenovo a aussi travaillé avec des partenaires comme Microsoft, McAfee et Symantec pour livrer des mises à jour de sécurité visant à supprimer l'adware. Cela signifie que les utilisateurs des produits de ces différentes entreprises seront automatiquement protégés après mise à jour de leurs logiciels.

Lenovo précise aussi que tous les PC conçus avec Superfish qui sont encore en stock seront aussi protégés. « Peu de temps après que le système est en marche, le programme antivirus va lancer une analyse puis retirer Superfish du système. Pour les systèmes qui sont réimagés à partir de la partition de sauvegarde sur le disque dur, Superfish sera également retiré de la même manière », a écrit Peter Hortensius, le CTO de Lenovo dans une lettre ouverte.

Hortensius annonce par ailleurs que son entreprise élabore actuellement « un plan concret » pour attaquer les vulnérabilités de logiciel. Les actions du plan seront partagées d'ici la fin de la semaine. Mais globalement, l’entreprise envisage, entre autres actions, de « créer une image de PC plus propre », en ce qui concerne l’OS et les logiciels préinstallés. Elle prévoit également de solliciter et prendre en compte les critiques, même les plus sévères dans l'évaluation de ses produits qui sortent.


Source : Lenovo News

Que pensez-vous des actions et résolutions de Lenovo ?

[Stéphane le calme]

Superfish a également des versions mobiles sur iOS et Android,
dotées de fonctionnalités de traçage

Suite à la controverse dont le logiciel Superfish a fait l’objet, la division américaine du constructeur chinois Lenovo s’est vue contrainte de présenter des excuses publiques à ses clients. « Nous sommes désolés, nous n’avons pas assuré, nous le reconnaissons » pouvait-on lire sur son Twitter officiel. Le constructeur s’est voulu rassurant lorsqu’il a fait la promesse que « cela ne se reproduira plus jamais » avant de guider les utilisateurs vers un guide de désinstallation.

Pour rappel, Superfish est un logiciel publicitaire qui était préinstallé sur certains modèles d’ordinateurs de Lenovo. L’adware était capable d’injecter des annonces publicitaires sur des pages web visitées par l’utilisateur et ce en dépit du navigateur dont il se servait ou même lorsque la connexion était supposée être sécurisée. Un fonctionnement qui constituait donc une faille dans la sécurité de l’ordinateur où il était installé puisqu’il rendait l’utilisateur vulnérable à des attaques man-in-the-middle.

Aussi, Microsoft et Lenovo ont émis des solutions pour atténuer le risque posé par le certificat racine de Superfish. Microsoft de son côté a créé une signature pour ses logiciels antivirus Windows Defender et Security Essentials qui inclut une routine qui va permettre non seulement d’enlever Superfish du système mais également des certificats racines du store de l’OS. Les deux programmes antivirus sont gratuits et intégré dans les versions depuis Windows Vista jusqu’à Windows 8.1. Ils agissent comme une protection par défaut pour le système d'exploitation si une solution tierce n’est pas installée. Il est donc recommandé de mettre vos programmes antivirus à jour.

Toutefois, si Firefox est utilisé pour la navigation, le certificat Superfish serait également injecté dans son magasin et devrait donc logiquement être éliminé de là. Dans ce cas, les routines de suppressions fournies par Microsoft seraient inefficaces. C’est ici que Lenovo intervient puisqu’il a couvert cette partie étant donné qu'il était au courant du fait que les préférences utilisateur de navigation peuvent s’étendre aux produits de Mozilla. Aussi, la société a créé et publié un outil de suppression automatique qui efface le certificat racine de Superfish dans Firefox et Thunderbird. Mais les difficultés peuvent s’étendre jusqu’à la version mobile dudit produit puisqu’il s’est avéré qu’elle contenait du code pour permettre le suivi des utilisateurs.

L'équivalent mobile pour Superfish est appelé LikeThat et est disponible pour les plateformes iOS et Android sur leurs vitrines en ligne respectives. L’application (LikeThat Décor and Furniture) est conçue pour aider les utilisateurs à faire leurs emplettes de mobilier en prenant simplement une photo de l’élément qu’ils souhaitent ; la photo sera alors téléchargée vers les serveurs de Superfish et des résultats visuels similaires issus de milliers de vendeurs s’afficheront dans la colonne des résultats. Il existe aussi une autre application appelée LikeThat Garden, spécifique qui concerne quant à elle les fleurs de votre jardin ou même encore LikeThat Pets : Adopt a pet.

Jonathan Zdziarski, un expert judiciaire iOS, a jeté un coup d'œil sur le code de l'application et a découvert qu'elle incluait des caractéristiques permettant d’identifier un périphérique par un identifiant unique, et de préserver toutes les données EXIF disponibles dans les photos prises par l'utilisateur afin de les envoyer vers ses serveurs. . « Donc même si vous n’avez pas fourni à l’application la permission d’avoir accès à votre GPS, cela pourrait ne pas être important si l’image est envoyée par le tuyau avec toutes les données EXIF qui s’y rattachent » explique-t-il sur un billet blog.

Le code d'identification, qui est également envoyé à une société d'analyse, est affecté à l'appareil sans aucune notification faites à l'utilisateur et il pourrait être établi à partir de l'adresse MAC de l’appareil mobile.

En ce qui concerne les données EXIF jointes aux images, la faille dans la sécurisation des données personnelles réside dans le fait qu'elles peuvent contenir la position GPS et le moment où la photo a été prise. Ainsi, plusieurs images prises à différents lieux peuvent permettre de retracer le parcours d'un utilisateur dans une période de temps spécifique

Le chercheur a également constaté que l’application LikeThat de Superfish sur la plateforme iOS est très invasive et possède du code qui peut tirer des informations sur l'appareil, comme l'espace disque libre, l’adresse MAC, la mémoire utilisée, la fréquence du processeur ou même le type d'affichage.

Dans le cas où les services de localisation ont été activés sur le périphérique, alors Superfish n'aura plus à s’appuyer sur les métadonnées des photos puisque la position GPS sera livrée à partir de ces services. Zdziarski souligne que l'autorisation de l'utilisateur est requise sur iOS, sur Android il ne le sait pas. « Même si on ne sait pas si ces caractéristiques sont actuellement activées dans les versions iOS ou Android de l’application, il semble que le soutien pour l’acquisition et de la transmission de votre position est au moins là, dans leur classe SFLocationAPI » a avancé le chercheur.

« Il semble Superfish se soit égaré en évitant d'utiliser la bonne méthode pour sélectionner une image de votre album photo (UIImagePicker), et a plutôt opté pour l’utilisation d’une technique qui pourrait permettre l'accès aux métadonnées sous-jacentes de l'image dont la plupart des utilisateurs n’ont même pas consciences d’avoir stockées », explique le chercheur.

Télécharger SuperFish Removal Utility (sur GitHub)

Vous pouvez voir si vous êtes infectés par le programme en suivant ce lien

Source : blog zdziarski

[Citrax]

Les excuses c'est bien et un bon debut...

Mais c'est totalement innadmissible de la part d'un grand constructeur ! La confiance est brisée.
C'est du HACKING pur et dur, peut importe les bonnes ou futiles raisons.
Effectivement une fois mondialement BOYCOTTE, ils ne le referront plus !!!

Adios lenovo