Le constructeur chinois Lenovo a laissé traîner des failles de sécurité critiques dans plus de 100 modèles de PC portables grand public. Des millions d'ordinateurs sont concernés. Mais des correctifs sont disponibles.

L'affaire paraît incroyable. Mais elle est pourtant vraie et même désormais officielle : Lenovo a laissé traîner plusieurs failles de sécurité critiques dans des PC portables essentiellement destinés au grand public. Le plus impressionnant, c'est que plus de 100 modèles sont concernés par cet étonnant problème, ce qui représente en pratique des millions d'ordinateurs vulnérables dans le monde ! Toutes les gammes ou presque du constructeur chinois sont touchées, des IdeaPad bon marché aux PC pour gamer des séries Legion en passant par les convertibles de type Yoga et les ultraportables de la famille Slim (voir la liste complète plus bas). 

Ce sont les chercheurs d'ESET, une société spécialisée en sécurité informatique, qui ont découvert les failles il y a déjà plusieurs mois. Comme ils l'expliquent avec moult détails dans leur rapport en ligne publié le 19 avril 2022, trois vulnérabilités ont été identifiées. Référencées CVE-2021-3971 et CVE-2021-3972, les deux premières concernent un problème lié à l'UEFI, le logiciel de bas niveau logé dans une mémoire flash SPI (non volatile) qui fait l'interface entre le firmware (le micrologiciel qui gère les fonctions "physiques" de la carte mère) et le système d'exploitation (Windows en l'occurence). En les exploitant, un attaquant pourrait déployer et exécuter du code malveillant et désactiver à la fois la protection de la puce SPI et la fonction Secure Boot de l'UEFI, le tout, avant même que les systèmes de sécurité du système d'exploitation entrent en action. Pas mal ! La troisième vulnérabilité, baptisée  CVE-2021-3970, permettait pour sa part à un attaquant en local d'exécuter du code arbitraire avec des privilèges élevés sur le PC.

Des portes dérobées oubliées dans plus de 100 PC portables Lenovo 

Le plus surprenant dans l'histoire, c'est que ces vulnérabilités ne sont pas dues à une banale erreur de programmation (un bug), mais à un bête oubli. En effet, des portes dérobées (backdoors, en anglais) aux noms explicites (SecureBackDoor, SecureBackDoorPeim, ChgBootDxeHook, ChgBootSmm) sont volontairement intégrées dans les pilotes UEFI par Lenovo pour des besoins internes lors de la production des PC. Elles ne sont en principe utilisés que pendant le processus de fabrication. Mais, pour une raison obscure, le constructeur ne les aa pas désactivées avant commercialisation… Ballot !

ESET a alerté Lenovo de sa découverte dès le 11 octobre 2021, et le constructeur, qui a reconnu les failles le 17 novembre, a depuis corrigé le problème en publiant de nouveaux pilotes UEFI. Voici la liste officielle établie par Lenovo dans son bulletin d'information publié le 19 avril 2022, avec le nom de tous les modèles concernés et les liens vers les pages de support permettant de télécharger les correctifs. Si vous avez un ordinateur portable recensé, allez vite vérifier que l'UEFI est à jour !