Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

SHAREit : quand Lenovo utilisait 12345678 comme mot de passe pour le Wi-Fi

Restons logiques, il n'y avait pas de chiffrement non plus

SHAREit : quand Lenovo utilisait 12345678 comme mot de passe pour le Wi-Fi

Le 26 janvier 2016 à 14h45

SHAREit, une application de partage de fichiers proposée par Lenovo, était victime de plusieurs failles de sécurité. Selon un bulletin publié par CoreSecurity, la liste des griefs est longue : mot de passe enregistré en clair, absence de chiffrement, etc.

Au cours des derniers mois, Lenovo a régulièrement fait la une des journaux. Si c'est parfois grâce à l'annonce de nouvelles machines, c'est aussi à cause de scandales liés à la sécurité. On se souviendra par exemple d'un outil (ré)installant automatiquement des logiciels, mais surtout de l'adware SuperFish. Et ce n'est pas fini, puisque l'année 2016 débute sur les chapeaux de roues pour le fabricant.

SHAREit : un partage de fichiers facile... beaucoup trop facile même

CoreSecurity, une société américaine spécialisée dans la sécurité informatique, explique en effet que plusieurs versions du logiciel SHAREit de Lenovo, qui permet de partager facilement des fichiers sur de multiples plateformes et qui revendique 30 millions d'utilisateurs, étaient victime de plusieurs failles de sécurité.

La première brèche concerne l'application Windows en version 2.5.1.1. Lorsqu'elle « est configurée pour recevoir des fichiers, un point d'accès Wi-Fi est mis en place avec un mot de passe très simple (12345678). N'importe quelle machine avec du Wi-Fi pourrait se connecter à ce point d'accès en utilisant ce mot de passe. C'est toujours le même ». Dans tous les cas, un mot de passe écrit en clair dans une application est une mauvaise idée, mais le fait qu'il soit aussi simple est un facteur aggravant. Pour rappel, 12345678 est classé troisième dans les pires mots de passe de l'année dernière, il faut dire qu'il est tout sauf sécurisé.

Sur Android (3.0.18_ww) et Windows (2.5.1.1) cette fois-ci, lorsque l'application est configurée pour recevoir des fichiers, « un point d'accès Wi-Fi est créé sans mot de passe », laissant ainsi n'importe qui se connecter sur le terminal. Ce n'est pas tout et le transfert des fichiers ne se faisait apparemment pas de manière chiffrée, laissant ainsi une personne sur le même réseau intercepter les échanges. Via une attaque de l'homme du milieu, cela aurait également pu permettre de modifier les données lors du transfert.

Les applications ont été corrigées en amont

Quoi qu'il en soit, les deux versions des applications de SHAREit ont bien évidemment été corrigées et il est donc important de se mettre à jour, si ce n'est pas déjà fait. Sur son site, CoreSecurity propose une timeline qui permet de suivre les échanges qui ont eu lieu avec les équipes de Lenovo pour le signalement et la correction des failles. On y apprend que le premier contact date du 29 octobre, soit il y a presque trois mois maintenant.

 

Commentaires (28)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Surement le coup d’un stagiaire ! <img data-src=" />

votre avatar

Non mais… <img data-src=" />

votre avatar

Ça transpire le « on s’en fout » à tellement de niveaux ce truc <img data-src=" />

votre avatar

Un seul? pas plutôt tous ceux qui ont succédé les uns après les autres?

votre avatar







Vilainkrauko a écrit :



Surement le coup d’un stagiaire ! <img data-src=" />





Plutôt le chef de projet.



Stagiaire: j’ai fin l’app de base

CDP : Ah ouais cool, envoi en prod, ils t’attendent

S: Mais il reste à trouver comment négocier les clés de sécurité….

CDP: attend ca marche là non ?

S: oui mais pas de sécurité

CDP: lance en prod et rapporte moi un café


votre avatar



il n’y avait pas de chiffrement non plus





12345678, c’est chiffré non ? <img data-src=" />

votre avatar

et en l’écrivant à l’envers, le chiffrement est 7,1x + fort <img data-src=" />

votre avatar

En fait, Lenovo est un précurseur de l’application du principe de la libre circulation des infos et du principe de libre choix.

L’idée générale c’est de ne strictement rien sécuriser dans les transferts publics et de tout laisser libre d’interception.

Les envoyeurs et les destinataires sachant cela, libre à eux de chiffrer leurs données si c’est important.



C’est loin d’être idiot <img data-src=" />

votre avatar

Bah au moins reconnaissons que l’application n’a pas usurpé son nom :)

votre avatar



Quoi qu’il en soit, les deux versions des applications de SHAREit ont bien évidemment été corrigées





Désormais, le mot de passe est 123456789 <img data-src=" />

votre avatar







CryoGen a écrit :



Plutôt le chef de projet.



Stagiaire: j’ai fin l’app de base

CDP : Ah ouais cool, envoi en prod, ils t’attendent

S: Mais il reste à trouver comment négocier les clés de sécurité….

CDP: attend ca marche là non ?

S: oui mais pas de sécurité

CDP: lance en prod et rapporte moi un café





D’un autre coté si tu cherches un réparer un truc qui fonctionne déjà, tu cours à la catastrophe ^^

<img data-src=" />



ok, je <img data-src=" /> (très vite)


votre avatar







Jarodd a écrit :



Désormais, le mot de passe est 123456789 <img data-src=" />





Non, “Lenovo123” Comme ça on a des chiffres, des lettres, des minuscules, des majuscules et plus de 8 caractères !





Je suggère aussi “一二三四五六七八” histoire de ne pas se laisser emmerder par les occidentaux !


votre avatar

<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />



Rhaaa les guignolos….

votre avatar







John Shaft a écrit :



12345678, c’est chiffré non ? <img data-src=" />



Oui mais c’est un chiffrage, pas un chiffrement <img data-src=" />


votre avatar

Ne rigoles pas trop.

Chez Konica Minolta, les copieurs arrivaient avec le code 012345678 !

Et bien maintenant, c’est 012345678012345678

Certes, c’est plus long, mais les techniciens recommandent de ne pas le changer, cela pourrait faire disfonctionner le copieur.

<img data-src=" />

votre avatar

j’ai eu affaire à un PC portable neuf de chez Lenovo…

ShareIt est pas la seule bousse à désinstaller il y a aussi une dizaine de conneries de chez eux.

Ils proposent même au démarrage du PC de créer un LenovoID c’est trop mignon <img data-src=" />



J’ai tout viré et ça marche aussi bien. Je croyais que Lenovo avait changer sa politique au sujet des bloatwares ?!?!

votre avatar

Lenovo, what else? <img data-src=" />

votre avatar

Toujours au top chez Lenovo <img data-src=" />

votre avatar

Mise à jour = quitter Lenovo ?

votre avatar

<img data-src=" /> Hallucinant! Comment une entreprise dans l’univers informatique peut autant se foutre royalement de la sécurité? <img data-src=" />

votre avatar







CryoGen a écrit :



Plutôt le chef de projet.



Stagiaire: j’ai fin l’app de base

CDP : Ah ouais cool, envoi en prod, ils t’attendent

S: Mais il reste à trouver comment négocier les clés de sécurité….

CDP: attend ca marche là non ?

S: oui mais pas de sécurité

CDP: lance en prod et rapporte moi un café





C’est tout a fait ça …. ou alors “non on va pas se compliquer la vie, on verra plus tard pour le chiffrement”.


votre avatar







nextdrOp a écrit :



Ne rigoles pas trop.

Chez Konica Minolta, les copieurs arrivaient avec le code 012345678 !

Et bien maintenant, c’est 012345678012345678

Certes, c’est plus long, mais les techniciens recommandent de ne pas le changer, cela pourrait faire disfonctionner le copieur.

<img data-src=" />



La différence étant que sur un copieur il y a nettement moins d’incidence à connaitre le mdp admin. D’ailleurs je n’ai jamais rencontré de pb de ce côté, malgré 220 personnes sur mon ancien poste qui imprimaient/scannaient sur des Konica, et une 100taine sur le nouveau. Personne ne cherchait à accéder aux fonctions admins, ils demandaient juste à ce que ca puisse scanner, imprimer, copier dans le cadre de leur travail.

Et au passage tu t’es planté sur le code, c’est 1234567812345678, sans le 0 <img data-src=" />


votre avatar

Déjà eu le coup avec un progiciel dont l’éditeur ne voulait pas qu’on change les MDP par défaut des comptes admin et base de données.



Ils ont eu comme réponse l’équivalent de ton avatar, on l’a fait, et ça marche très bien depuis.









Silly_INpact a écrit :



<img data-src=" /> Hallucinant! Comment une entreprise dans l’univers informatique peut autant se foutre royalement de la sécurité? <img data-src=" />







Ils ont du se dire qu’avec les smartphones en mode passoire jamais mis à jour ça ne se verrait pas.


votre avatar







Patch a écrit :



La différence étant que sur un copieur il y a nettement moins d’incidence à connaitre le mdp admin. D’ailleurs je n’ai jamais rencontré de pb de ce côté, malgré 220 personnes sur mon ancien poste qui imprimaient/scannaient sur des Konica, et une 100taine sur le nouveau. Personne ne cherchait à accéder aux fonctions admins, ils demandaient juste à ce que ca puisse scanner, imprimer, copier dans le cadre de leur travail.

Et au passage tu t’es planté sur le code, c’est 1234567812345678, sans le 0 <img data-src=" />







Ca fait quand même peur sur le sérieux de la boite et du produit !


votre avatar

Vu que je vais m’en prendre un chez eux (entre un T450 sous Windows 7 et un E460 sous Windows 10 (pas 7, merci Skylake et MS), mon coeur balance… Et je te dirais combien de merdes j’ai viré <img data-src=" />

votre avatar

Ce n’est pas pour un problème vis-à-vis des utilisateurs interne le mot de passe.

Le soucis peut venir d’une attaque par le fax, d’une attaque par virus, en local, avec récupération de tout ce qui transite par le copieur multifonction (c’est le côté multi qui est sympa dans ce contexte), etc…

Après, si je ne peux même plus glisser un 0 dans le mdp… :p

votre avatar

je ne suis pas contre l’idée de mettre un mdp par défaut sur un copieur, un routeur ou n’importe quelle machine d’ailleurs (c’est bien pratique), mais il FAUT qu’ils t’indiquent clairement la manip pour le changer ou encore mieux qu’ils te force à le changer à la première connexion (c’est le cas des machins Cisco il me semble)

votre avatar

Chez moi le mot de passe du wifi est : 11111111111111111111111111



Il faut juste pas se tromper dans le nombre de 1.

&nbsp;

SHAREit : quand Lenovo utilisait 12345678 comme mot de passe pour le Wi-Fi

  • SHAREit : un partage de fichiers facile... beaucoup trop facile même

  • Les applications ont été corrigées en amont

Fermer