Le constructeur chinois Lenovo a laissé traîner des failles de sécurité critiques dans plus de 100 modèles de PC portables grand public. Des millions d'ordinateurs sont concernés. Mais des correctifs sont disponibles.
L'affaire paraît incroyable. Mais elle est pourtant vraie et même désormais officielle : Lenovo a laissé traîner plusieurs failles de sécurité critiques dans des PC portables essentiellement destinés au grand public. Le plus impressionnant, c'est que plus de 100 modèles sont concernés par cet étonnant problème, ce qui représente en pratique des millions d'ordinateurs vulnérables dans le monde ! Toutes les gammes ou presque du constructeur chinois sont touchées, des IdeaPad bon marché aux PC pour gamer des séries Legion en passant par les convertibles de type Yoga et les ultraportables de la famille Slim (voir la liste complète plus bas).
ESET researchers discovered multiple vulnerabilities in various Lenovo laptop models, findings here: https://t.co/0K6FN3nsLV.
— ESET (@ESET) April 19, 2022
Are you a #Lenovo user? Watch this video from Tony Anscombe to get important tips on how to safeguard your device #ProgressProtected pic.twitter.com/6NQSPUUHZK
Ce sont les chercheurs d'ESET, une société spécialisée en sécurité informatique, qui ont découvert les failles il y a déjà plusieurs mois. Comme ils l'expliquent avec moult détails dans leur rapport en ligne publié le 19 avril 2022, trois vulnérabilités ont été identifiées. Référencées CVE-2021-3971 et CVE-2021-3972, les deux premières concernent un problème lié à l'UEFI, le logiciel de bas niveau logé dans une mémoire flash SPI (non volatile) qui fait l'interface entre le firmware (le micrologiciel qui gère les fonctions "physiques" de la carte mère) et le système d'exploitation (Windows en l'occurence). En les exploitant, un attaquant pourrait déployer et exécuter du code malveillant et désactiver à la fois la protection de la puce SPI et la fonction Secure Boot de l'UEFI, le tout, avant même que les systèmes de sécurité du système d'exploitation entrent en action. Pas mal ! La troisième vulnérabilité, baptisée CVE-2021-3970, permettait pour sa part à un attaquant en local d'exécuter du code arbitraire avec des privilèges élevés sur le PC.
Des portes dérobées oubliées dans plus de 100 PC portables Lenovo
Le plus surprenant dans l'histoire, c'est que ces vulnérabilités ne sont pas dues à une banale erreur de programmation (un bug), mais à un bête oubli. En effet, des portes dérobées (backdoors, en anglais) aux noms explicites (SecureBackDoor, SecureBackDoorPeim, ChgBootDxeHook, ChgBootSmm) sont volontairement intégrées dans les pilotes UEFI par Lenovo pour des besoins internes lors de la production des PC. Elles ne sont en principe utilisés que pendant le processus de fabrication. Mais, pour une raison obscure, le constructeur ne les aa pas désactivées avant commercialisation… Ballot !
ESET a alerté Lenovo de sa découverte dès le 11 octobre 2021, et le constructeur, qui a reconnu les failles le 17 novembre, a depuis corrigé le problème en publiant de nouveaux pilotes UEFI. Voici la liste officielle établie par Lenovo dans son bulletin d'information publié le 19 avril 2022, avec le nom de tous les modèles concernés et les liens vers les pages de support permettant de télécharger les correctifs. Si vous avez un ordinateur portable recensé, allez vite vérifier que l'UEFI est à jour !
Guide piratage
- Faille lenovo
- Lenovo faille
- Faille informatique
- Faille de sécurité chez Lenovo
- Faille amd > Guide
- Lenovo ideapad 3 17iml05 avis > Forum - Ordinateur portable
- Fan error lenovo [résolu] > Forum - Refroidissement
- Lenovo vantage c'est quoi > Forum - Logiciels
- Piratage Uber : les données des utilisateurs compromises ?
- Piratage Revolut : les données de 50 000 clients dérobées
- EvilProxy : l'outil pour pirater la double authentification
- pCloud liste les pires mots de passe à ne jamais utiliser
- Piratage Samsung : encore une fuite de données
- Piratage La Poste Mobile : les données clients sur le Net
- Piratage Altice : les clients SFR ne sont pas touchés
- Un malware caché dans des photos de James Webb
- Des extensions Chrome malveillantes à supprimer d'urgence
- Piratage LastPass : pas de danger pour les mots de passe
- Rubber Ducky : la clé USB de piratage revient en version 3.0
- Piratage Plex : des comptes et des mots de passe compromis
- Malwares : VirusTotal liste les logiciels les plus vérolés
- Des pirates contournent la double authentification Microsoft
- Malware Octo : 17 applis Android infectées à désinstaller
- Malware Joker : encore des applications Android infectées
- Fraude en ligne : de grandes banques refusent de rembourser
- Piratage Ameli : plus d'un million d'assurés concernés
- Faille dans Office : une vulnérabilité à corriger d'urgence
- Fausse mise à jour Windows 11 : attention aux malwares !
- Samsung Galaxy : une grave faille de sécurité corrigée
- RedLine : le malware déguisé en mise à jour vers Windows 11
- Mot de passe compromis : vérifier si un compte a été piraté
- Log4Shell : la faille de sécurité qui affole Internet
- 3000 pièces d'identité françaises en vente sur le Dark Web
- Joker : le malware sévit encore sur le Google Play Store
- Compte Facebook piraté : comment récupérer d'un piratage
- Ransomware REvil : un déchiffreur universel est disponible
- Fuite de données Facebook : vérifier si un compte a été piraté