Pourquoi vous devriez éviter les PC Lenovo: 7 risques de sécurité à prendre en compte
Cela ne cesse de se produire. Au fil des ans, le fabricant chinois d'ordinateurs et de smartphones Lenovo a été surpris en train de pousser de mauvais logiciels sur ses utilisateurs. Ce n'est pas seulement mauvais: c'est imparfait. Qu'il s'agisse de pilotes, de solutions de contournement ou de bloatware, Lenovo a un bilan terrible en matière de protection de ses utilisateurs.
À plusieurs reprises, le point est souligné: si vous accordez de l'importance à la sécurité et à la confidentialité, les PC et ordinateurs portables Lenovo ne sont pas sûrs. Voyons pourquoi le moment est venu de chercher ailleurs des ordinateurs abordables.
Ordinateurs Lenovo: sûrs ou non?
Avant de faire cela, cependant, le moment est venu de donner un peu de crédit à Lenovo. Après avoir racheté l'activité informatique d'IBM en 2005, il est devenu le plus grand fabricant de smartphones en Chine continentale en 2014. Pas mal pour une entreprise formée seulement 30 ans plus tôt.
Au cours de la même période, Lenovo a réussi à établir une part de marché de plus de 10% aux États-Unis. C'est une entreprise qui est devenue de plus en plus populaire auprès des consommateurs. Les ordinateurs portables, les PC hybrides innovants et le prix abordable soulignent la marque Lenovo.
Mais depuis qu'il a établi sa position de leader sur le marché, Lenovo a pris ses clients pour acquis.
1. Lenovo Service Engine
Apparaissant sur les appareils livrés d'octobre 2014 à juin 2015, le moteur de service Lenovo aurait envoyé des informations système non identifiables de votre PC à Lenovo, la première fois que votre ordinateur est connecté. Pendant ce temps, le bloatware Lenovo OneKey Optimizer serait installé sur les ordinateurs portables.
Pire encore, ces mêmes comportements se produiraient après une nouvelle installation — grâce à une fonctionnalité de Windows 8 appelée Windows Platform Binary Table — qui stocke les exécutables dans le micrologiciel UEFI . Il s'est avéré, cependant, que Lenovo Service Engine avait divers problèmes de sécurité et, par conséquent, ne respectait pas les directives d'inclusion de WPBT, destinées aux logiciels antivol.
Lenovo Service Engine a depuis été interrompu et Lenovo a émis des instructions pour sa suppression.
2. Lenovo et le logiciel malveillant Superfish
Début 2015, il a été découvert que les ordinateurs portables Lenovo expédiés aux magasins et aux consommateurs à la fin de 2014 avaient des logiciels malveillants préinstallés . Se faisant passer pour un bloatware de fabricant typique, Superfish Visual Discovery était une extension de navigateur qui analysait les images, vérifiait s'il s'agissait de produits, puis affichait des alternatives moins chères. Cela semble utile, mais…
«Le moteur Superfish Visual Discovery analyse une image à 100% de manière algorithmique, fournissant des images similaires et presque identiques en temps réel sans avoir besoin de balises de texte ou d'intervention humaine. Lorsqu'un utilisateur est intéressé par un produit, Superfish recherche instantanément parmi plus de 70 000 magasins pour trouver des articles similaires et comparer les prix afin que l'utilisateur puisse prendre la meilleure décision sur le produit et le prix. »
Voici un explicatif et une discussion plus approfondis:
Ainsi, Superfish a piraté les navigateurs et installé un certificat HTTPS auto-signé, rendant les connexions HTTPS aussi faibles que HTTP. Cela a permis à Superfish d'intercepter le trafic Internet.
Plus inquiétant encore, il s'agit d'une attaque de type Man-in-the-Middle , un vecteur d'attaque clé dans la criminalité en ligne. Oh, et pour aggraver les choses, les certificats HTTPS avaient la même clé de cryptage privée sur chaque ordinateur Lenovo affecté !
3. Programme de commentaires des clients de Lenovo
Les problèmes de sécurité précédents avaient touché les ordinateurs et les smartphones de bas et de milieu de gamme. En septembre 2015, cependant, il est devenu évident que les ThinkPads, ThinkCenters et ThinkStations haut de gamme étaient vendus avec des logiciels malveillants préinstallés.
Connu sous le nom de Lenovo Customer Feedback Program, l'outil transmettait les données d'utilisation personnelles quotidiennes à Omniture.
Omni-qui? Omniture est une société de marketing en ligne et d'analyse Web, propriété d'Adobe depuis 2009. Après Lenovo Service Engine et Superfish, le programme de rétroaction des clients de Lenovo semble être un opportunisme flagrant. Heureusement, Lenovo Customer Feedback peut être désinstallé .
4. Lenovo Solution Center permet l'exécution de codes malveillants
En mai 2016, il est apparu que le bloatware Lenovo Solution Center présentait une autre vulnérabilité clé.
Cette vulnérabilité d'escalade de privilèges permettait aux attaquants ayant accès à un appareil sur votre réseau d' exécuter du code malveillant . Bien que votre réseau domestique soit sécurisé, il y a de fortes chances que le Wi-Fi public que vous utilisez ne le soit pas.
Par conséquent, le Lenovo Solution Center aurait pu être utilisé pour subvertir tout votre système, et potentiellement tout un réseau.
5. Lenovo Solution Center et sites Web malveillants
Embarrassant pour Lenovo, le LSC a déjà eu des problèmes.
Par exemple, en décembre 2015, le groupe de piratage Slipstream / RoL a démontré plusieurs vulnérabilités dans l'outil. L'un d'eux pourrait diriger les utilisateurs vers des sites Web malveillants (bloquant les méthodes habituelles de vérification ).
Bien que Lenovo ait publié des étapes pour résoudre le problème de l'élévation des privilèges, l'option la plus sûre est clairement de désinstaller le Lenovo Solution Center.
6. Vulnérabilité d'escalade de la confidentialité dans Lenovo Solution Center
Vous utilisez toujours le Lenovo Solution Center? Arrêtez! En 2018, PenTestPartners a découvert une vulnérabilité d'escalade de privilèges dans le LSC, en particulier un écrasement DACL (liste de contrôle d'accès discrétionnaire).
En bref, cela permet à un utilisateur à faibles privilèges de prendre le contrôle de fichiers limités aux utilisateurs à privilèges élevés. PenTestPartners a ensuite partagé ces informations avec Lenovo, qui a informé les chercheurs en sécurité que le LSC avait dépassé sa «fin de vie», affirmant qu'il avait pris fin en avril 2018. Cependant, PenTestParters a fourni la preuve que Lenovo a répertorié la dernière version de LSC comme le 15 octobre 2018. .
La conduite de Lenovo autour de ce problème est pour le moins fragmentaire.
7. La solution de contournement BSOD viole la sécurité de Windows 10
Les problèmes de sécurité de Lenovo ne appartiennent pas au passé. Malgré l'espoir qu'elles pourraient s'améliorer, les pratiques restent discutables.
Suite à la mise à jour d'août KB566782 pour Windows 10 version 2004, les utilisateurs de Lenovo ont trouvé des écrans bleus de la mort (BSOD) réguliers sur les nouveaux modèles Lenovo ThinkPad. Le bogue a également cassé la connexion biométrique Windows Hello .
La réponse de Lenovo aux utilisateurs a été d'offrir une solution de contournement. Tout va bien, vous pourriez penser — sauf que ce correctif a désactivé les paramètres de sécurité biométrique améliorée de Windows. Ce n’est pas la solution qu’un fabricant de PC réputé devrait offrir.
Les problèmes de sécurité de Lenovo signifient que vous devez éviter ses ordinateurs
Bien que les problèmes de Lenovo puissent être résolus relativement facilement, le fait est qu'ils ne devraient pas être là en premier lieu.
Il a été émis l'hypothèse que les différentes failles de sécurité ont été motivées par le désir de Lenovo de monétiser sa base d'utilisateurs. Après tout, ces prix bas doivent être en quelque sorte renouvelés. Quelle que soit la raison, les utilisateurs d'ordinateurs Lenovo ont été exposés à plusieurs reprises à des problèmes de sécurité au fil des ans.
Tant que Lenovo ne résoudra pas ses problèmes de sécurité, il est temps de chercher ailleurs.