Le constructeur chinois Lenovo a laissé traîner des failles de sécurité critiques dans plus de 100 modèles de PC portables grand public. Des millions d'ordinateurs sont concernés. Mais des correctifs sont disponibles.
L'affaire paraît incroyable. Mais elle est pourtant vraie et même désormais officielle : Lenovo a laissé traîner plusieurs failles de sécurité critiques dans des PC portables essentiellement destinés au grand public. Le plus impressionnant, c'est que plus de 100 modèles sont concernés par cet étonnant problème, ce qui représente en pratique des millions d'ordinateurs vulnérables dans le monde ! Toutes les gammes ou presque du constructeur chinois sont touchées, des IdeaPad bon marché aux PC pour gamer des séries Legion en passant par les convertibles de type Yoga et les ultraportables de la famille Slim (voir la liste complète plus bas).
ESET researchers discovered multiple vulnerabilities in various Lenovo laptop models, findings here: https://t.co/0K6FN3nsLV.
— ESET (@ESET) April 19, 2022
Are you a #Lenovo user? Watch this video from Tony Anscombe to get important tips on how to safeguard your device #ProgressProtected pic.twitter.com/6NQSPUUHZK
Ce sont les chercheurs d'ESET, une société spécialisée en sécurité informatique, qui ont découvert les failles il y a déjà plusieurs mois. Comme ils l'expliquent avec moult détails dans leur rapport en ligne publié le 19 avril 2022, trois vulnérabilités ont été identifiées. Référencées CVE-2021-3971 et CVE-2021-3972, les deux premières concernent un problème lié à l'UEFI, le logiciel de bas niveau logé dans une mémoire flash SPI (non volatile) qui fait l'interface entre le firmware (le micrologiciel qui gère les fonctions "physiques" de la carte mère) et le système d'exploitation (Windows en l'occurence). En les exploitant, un attaquant pourrait déployer et exécuter du code malveillant et désactiver à la fois la protection de la puce SPI et la fonction Secure Boot de l'UEFI, le tout, avant même que les systèmes de sécurité du système d'exploitation entrent en action. Pas mal ! La troisième vulnérabilité, baptisée CVE-2021-3970, permettait pour sa part à un attaquant en local d'exécuter du code arbitraire avec des privilèges élevés sur le PC.
Des portes dérobées oubliées dans plus de 100 PC portables Lenovo
Le plus surprenant dans l'histoire, c'est que ces vulnérabilités ne sont pas dues à une banale erreur de programmation (un bug), mais à un bête oubli. En effet, des portes dérobées (backdoors, en anglais) aux noms explicites (SecureBackDoor, SecureBackDoorPeim, ChgBootDxeHook, ChgBootSmm) sont volontairement intégrées dans les pilotes UEFI par Lenovo pour des besoins internes lors de la production des PC. Elles ne sont en principe utilisés que pendant le processus de fabrication. Mais, pour une raison obscure, le constructeur ne les aa pas désactivées avant commercialisation… Ballot !
ESET a alerté Lenovo de sa découverte dès le 11 octobre 2021, et le constructeur, qui a reconnu les failles le 17 novembre, a depuis corrigé le problème en publiant de nouveaux pilotes UEFI. Voici la liste officielle établie par Lenovo dans son bulletin d'information publié le 19 avril 2022, avec le nom de tous les modèles concernés et les liens vers les pages de support permettant de télécharger les correctifs. Si vous avez un ordinateur portable recensé, allez vite vérifier que l'UEFI est à jour !
Guide piratage
- Faille lenovo
- Lenovo ideapad s145 15api
- Securite de mon pc portable [résolu] > Forum - Virus / Sécurité
- Voyant alimentation clignote pc portable lenovo [résolu] > Forum - Ordinateur portable
- Changer la carte graphique PC Portable Lenovo [résolu] > Forum - Carte graphique
- Problème connexion internet Lenovo Windows 10 [résolu] > Forum - Pilotes (drivers)
- Lenovo : changer carte mère/graphique [résolu] > Forum - Carte-mère / RAM
- Fausse mise à jour Windows 11 : attention aux malwares !
- Samsung Galaxy : une grave faille de sécurité corrigée
- Piratage GHT : des données de patients en vente sur le Web
- Piratage Ameli : plus de 500 000 assurés concernés
- RedLine : le malware déguisé en mise à jour vers Windows 11
- Mot de passe compromis : vérifier si un compte a été piraté
- Log4Shell : la faille de sécurité qui affole Internet
- 3000 pièces d'identité françaises en vente sur le Dark Web
- Joker : le malware sévit encore sur le Google Play Store
- Compte Facebook piraté : comment récupérer d'un piratage
- Ransomware REvil : un déchiffreur universel est disponible
- Fuite de données Facebook : vérifier si un compte a été piraté