Lenovo : l’outil de mise à jour était troué

Trois mois après l’affaire Superfish, les PC du fabricant chinois Lenovo, premier acteur mondial sur ce segment, sont à nouveau dans la tourmente. Des chercheurs en cybersécurité de chez IOActive assurent que les utilisateurs d’ordinateurs de la marque seraient à nouveau exposés à un « risque de sécurité massif ». 

 

Michael Milvich et Sofiane Talmat, les deux chercheurs, viennent de publier un avis de sécurité (http://www.ioactive.com/pdfs/Lenovo_System_Update_Multiple_Privilege_Escalations.pdf) où ils expliquent que le service de mises à jour « System Update » de Lenovo est complètement troué.

System Update assure la mise à jour de la couche logicielle maison présente sur les ordinateurs Lenovo. Un outil pratique, mais qui n’était pas fiable jusqu’à récemment.

Ce service, qui permet aux clients de télécharger les derniers pilotes et logiciels Lenovo, dont les correctifs de sécurité, est victime de vulnérabilités importantes, qui permettent des attaques par escalade de privilèges.

L’une d’entre elle permet de contourner les contrôles de validation et de remplacer les programmes Lenovo proposés au téléchargement par des logiciels malveillants, et directement exécutés sur la machine par System Update. Une autre faille assure au pirate la possibilité d’exécuter ses propres commandes sur l’ordinateur piraté.

 

 

Un patch disponible

Les vulnérabilités affectent Lenovo System Update 5.6.0.27 et les versions antérieures. Le fabricant chinois a publié un patch le mois dernier pour corriger les failles de sécurité. Il est donc indispensable pour les clients de la marque de télécharger la mise à jour de sécurité pour ne pas courir le risque de compromettre leurs machines (https://support.lenovo.com/us/en/product_security/lsu_privilege).

Ces vulnérabilités ont été découvertes en février dernier, en plein milieu de l’affaire Superfish. Pas mesquin, IOActive a contacté Lenovo pour lui faire part de ses découvertes et lui permettre de déployer des correctifs de sécurité. Reste que la réputation de Lenovo commence à pâtir de ces multiples affaires de failles béantes.

 

 


Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure sécurité des systèmes informatiques et améliorer la protection juridique du chef d’entreprise.

Contactez-nous


 

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

 

Source : http://www.zdnet.fr/actualites/lenovo-l-outil-de-mise-a-jour-etait-troue-39819028.htm

Par Guillaume Serries

 

 

image_pdfimage_print