Pourquoi vous devriez éviter un PC Lenovo : 7 risques de sécurité à prendre en compte
Cela continue de se produire. Le fabricant chinois d’ordinateurs et de smartphones Lenovo propose de mauvais logiciels à ses utilisateurs depuis des années. Ce n’est pas seulement mauvais : c’est imparfait. Qu’il s’agisse de pilotes, de solutions de contournement ou de logiciels obsolètes, Lenovo a un mauvais bilan en matière de protection des utilisateurs.
C’est un point à répéter encore et encore : les PC et ordinateurs portables Lenovo ne sont pas sûrs si vous accordez de l’importance à la sécurité et à la confidentialité. Voyons pourquoi il est temps de commencer à chercher ailleurs un ordinateur abordable.
Ordinateurs Lenovo : sûrs ou non ?
Avant de faire cela, cependant, c’est le bon moment pour donner du crédit à Lenovo. Après avoir acquis l’activité informatique d’IBM en 2005, il est devenu le plus grand fabricant de smartphones en Chine continentale en 2014. Pas mal pour une entreprise qui n’a été fondée qu’il y a 30 ans.
Au cours de la même période, Lenovo a réussi à se construire une part de marché de plus de 10 % aux États-Unis. C’est une entreprise qui est de plus en plus populaire auprès des consommateurs. Les ordinateurs portables, les PC hybrides innovants et les prix abordables soulignent la marque Lenovo.
Mais depuis qu’il a établi son leadership sur le marché, Lenovo a pris ses clients pour acquis.
1. Moteur de service Lenovo
Le moteur de service Lenovo, qui était présent sur les appareils livrés entre octobre 2014 et juin 2015, est censé envoyer des informations système non reconnues de votre PC à Lenovo lorsque votre ordinateur est mis en ligne pour la première fois. Pendant ce temps, le bloatware Lenovo OneKey Optimizer sera installé sur l’ordinateur portable.
Pour aggraver les choses, ces mêmes comportements se produisent après une nouvelle installation – grâce à une fonctionnalité de Windows 8 appelée Windows Platform Binary Table – qui stocke les fichiers exécutables dans le micrologiciel UEFI. Cependant, il s’avère que le moteur de service Lenovo présente divers problèmes de sécurité et ne respecte donc pas les directives d’inclusion WPBT pour les logiciels antivol.
Faire une vidéo du jour
Lenovo Service Engine a depuis été interrompu et Lenovo a publié des instructions de suppression.
2. Logiciels malveillants Lenovo et Superfish
Début 2015, il a été découvert que les ordinateurs portables Lenovo expédiés aux magasins et aux consommateurs fin 2014 contenaient des logiciels malveillants préinstallés. Déguisé en logiciel obsolète typique du fabricant, Superfish Visual Discovery est une extension de navigateur qui analyse les images, vérifie s’il s’agit de produits, puis affiche des alternatives moins chères. Cela semble utile, mais…
« Le moteur Superfish Visual Discovery analyse les images à 100 % grâce à un algorithme, fournissant des images similaires et quasi identiques en temps réel, sans étiquettes de texte ni intervention humaine. Lorsqu’un utilisateur est intéressé par un produit, Superfish recherche instantanément plus de 70 000 magasins pour trouver produits similaires et comparer les prix afin que les utilisateurs puissent prendre les meilleures décisions concernant les produits et les prix.
Voici une explication et une discussion plus approfondies :
Superfish a donc détourné le navigateur et installé un certificat HTTPS auto-signé, rendant les connexions HTTPS aussi faibles que HTTP. Cela permet à Superfish d’intercepter le trafic Internet.
Le plus inquiétant, c’est ce qu’on appelle une attaque de l’homme du milieu et c’est un vecteur d’attaque clé pour la cybercriminalité. Oh, et pire encore, le certificat HTTPS a la même clé de cryptage privée sur chaque ordinateur Lenovo concerné !
3. Programme de commentaires des clients Lenovo
Les problèmes de sécurité précédents ont affecté les ordinateurs et les smartphones bas et milieu de gamme. Cependant, en septembre 2015, il est devenu évident que des ThinkPads, ThinkCenters et ThinkStations haut de gamme étaient vendus avec des logiciels malveillants préinstallés.
L’outil, appelé Lenovo Customer Feedback Program, transmet les données d’utilisation personnelles quotidiennes à Omniture.
De qui s’agit-il ? Omniture est une société de marketing en ligne et d’analyse Web détenue par Adobe depuis 2009. Après le Lenovo Service Engine et Superfish, le Lenovo Customer Feedback Program semble manifestement opportuniste. Heureusement, Lenovo Customer Feedback peut être désinstallé.
4. Lenovo Solution Center permet l’exécution de code malveillant
En mai 2016, un bloatware du Lenovo Solution Center a découvert une autre vulnérabilité critique.
Cette vulnérabilité d’élévation des privilèges pourrait permettre à un attaquant ayant accès aux appareils de votre réseau d’exécuter un code malveillant. Bien que votre réseau domestique soit sécurisé, il y a de fortes chances que le Wi-Fi public que vous utilisez ne le soit pas.
En tant que tel, le Lenovo Solution Center pourrait être utilisé pour perturber l’ensemble de votre système, voire l’ensemble de votre réseau.
5. Centre de solutions Lenovo et sites Web malveillants
Au grand embarras de Lenovo, LSC a déjà eu des problèmes.
Par exemple, en décembre 2015, le groupe de hackers Slipstream/RoL a démontré de multiples vulnérabilités dans l’outil. L’un d’eux pourrait conduire l’utilisateur vers un site Web malveillant (bloquant les méthodes de vérification habituelles).
Bien que Lenovo ait publié des étapes pour traiter les problèmes d’escalade de privilèges, l’option la plus sûre consiste évidemment à désinstaller Lenovo Solution Center.
6. Vulnérabilité de mise à niveau de la confidentialité dans Lenovo Solution Center
Vous utilisez toujours le centre de solutions Lenovo ? arrêter! En 2018, PenTestPartners a découvert des vulnérabilités d’escalade de privilèges dans LSC, en particulier des dérogations DACL (liste de contrôle d’accès discrétionnaire).
En bref, cela permet aux utilisateurs à faibles privilèges de contrôler les fichiers réservés aux utilisateurs à privilèges élevés. PenTestPartners a ensuite partagé ces informations avec Lenovo, qui a informé les chercheurs en sécurité que LSC avait dépassé son « cycle de vie », affirmant qu’il s’était terminé en avril 2018. Cependant, les preuves de PenTestPartners suggèrent que Lenovo répertorie la dernière version de LSC au 15 octobre 2018.
Les actions de Lenovo sur cette question sont pour le moins sommaires.
7. Les solutions de contournement BSOD violent la sécurité de Windows 10
Les problèmes de sécurité de Lenovo n’appartiennent plus au passé. Malgré l’espoir qu’ils puissent s’améliorer, la pratique reste discutable.
Après la mise à jour KB566782 d’août de Windows 10 version 2004, les utilisateurs de Lenovo voient un écran bleu de la mort (BSOD) régulier sur les nouveaux modèles Lenovo ThinkPad. La vulnérabilité interrompt également les connexions biométriques Windows Hello.
La réponse de Lenovo aux utilisateurs est d’offrir une solution de contournement. Tout va bien, vous pourriez penser – sauf que ce correctif désactive le paramètre de sécurité biométrique Windows améliorée. Il existe peu de solutions qu’un fabricant de PC réputé devrait proposer.
Les problèmes de sécurité de Lenovo signifient que vous devez éviter ses PC
Bien que les problèmes de Lenovo puissent être résolus relativement facilement, la vérité est qu’ils ne devraient pas exister en premier lieu.
Vraisemblablement, le désir de Lenovo de monétiser sa base d’utilisateurs a conduit à diverses failles de sécurité. Après tout, un prix aussi bas doit être complété d’une manière ou d’une autre. Quelle que soit la raison, les utilisateurs de PC Lenovo ont été menacés à plusieurs reprises par des problèmes de sécurité au fil des ans.
Jusqu’à ce que Lenovo réponde à ses problèmes de sécurité, il est temps de chercher ailleurs.
A propos de l’auteur
