Passer au contenu

Lenovo a de nouveau préinstallé  des pourriciels sur ses PC

Le firmware de certains ordinateurs Lenovo installe d’emblée un logiciel « d’optimisation » dans le système d’exploitation. Mais ce dispositif introduit aussi des failles de sécurité. Les clients de Lenovo sont invités à vérifier leur configuration.

Alors que le scandale Superfish résonne encore dans nos têtes, voici que Lenovo se distingue de nouveau par une affaire de pourriciel préinstallé. Rappelez-vous, en février dernier, le constructeur avait été épinglé car certains de ses PC intégraient d’office un adware particulièrement intrusif et, surtout, vulnérable à des attaques de type « Man in the middle ». L’image de Lenovo a beaucoup souffert de cette affaire.

Mais cette fois, le constructeur chinois a fait encore pire. Il a configuré le firmware de certains de ses PC (l’EFI Boot ROM) de manière à installer automatiquement dans le système d’exploitation du PC un logiciel baptisé OneKey Optimizer (OKO). Celui-ci prétend « optimiser » le système en réalisant des mises à jour de drivers et en proposant une meilleur gestion de la consommation énergétique. Bref, il n’apporte pas grand-chose. Le problème, c’est que l’utilisateur ne peut pas s’en débarrasser, car il est installé directement par le microcode : même en réinstallant complètement Windows, il referait surface.

Pour arriver à ce résultat, Lenovo intègre dans le firmware un logiciel baptisé « Lenovo Service Engine » (LSE). Celui-ci s’appuie sur le dispositif Windows Platform Binary Table (WPBT) qui permet aux constructeurs de personnaliser leur matériel et d’injecter des logiciels additionnels dans le système d’exploitation. On pourrait donc croire que l’on se situe dans le cadre d’une procédure totalement normale. Sauf que le dispositif WPBT a plutôt été conçu pour installer des logiciels réellement importants. Par exemple des logiciels antivol qui, même dans le cas d’un reformatage, peuvent ainsi signaler leur présence. Mais ce n’est absolument pas le cas d’OKO.

Des logiciels inutiles et vulnérables

Outre cet aspect intrusif et fort déplaisant, il y a un second problème : OKO et LSE présentent des failles de sécurité découvertes il y a quelques mois par le chercheur en sécurité Roel Schouwenberg. Donc non seulement ces logiciels ne servent à rien, mais en plus ils rendent le système vulnérable à des attaques.

Depuis juin dernier, aucun PC fourni par Lenovo n’intègre plus les logiciels LSE et OKO. Reste à nettoyer les ordinateurs existants. Les utilisateurs qui ont acheté un ordinateur auprès de ce constructeur sont invités à vérifier s’ils sont concernés par ce problème. Dans un communiqué publié mardi dernier, Lenovo donne la liste des modèles impactés. Pour chacun d’eux, Lenovo met à disposition un outil de désinstallation à télécharger.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN