Lenovo est à nouveau pris dans une tourmente, à cause d’un choix fait sur une partie de ses machines. Le constructeur s’est servi d’une fonctionnalité présente dans Windows pour provoquer la réinstallation automatique de ses outils sur un système vierge, via un code dans le firmware de la machine, et sans que l’utilisateur ne puisse y faire quoi que ce soit.
À peine remis de SuperFish...
L’année 2015 est décidément compliquée pour Lenovo. Le début de l’année a déjà été marqué par le scandale autour de SuperFish, un logiciel « complémentaire » livré avec les ordinateurs portables grand public du constructeur et qui n’avait finalement pour autre ambition que de fournir des contenus publicitaires injectés directement dans les pages web. Le gros problème venait de l’utilisation d’un certificat unique pour toutes les machines, qui permettait à SuperFish de s’introduire dans les flux sécurisés.
Lenovo avait fait amende honorable et réagi prestement. Des correctifs avaient rapidement été distribués, SuperFish supprimé de toutes les nouvelles machines vendues, et le constructeur s’était en particulier engagé à fournir des ordinateurs aussi propres que possible, avec une liste restreinte de logiciels. Ces derniers, que beaucoup appellent des « bloatwares », sont la plaie de bon nombre d’utilisateurs, chez qui le premier geste après l’achat d’une nouvelle machine est de les désinstaller.
... qu'un nouveau scandale débarque
À peine les cendres de SuperFish retombées que Lenovo doit faire face à un autre scandale. Sur certains ordinateurs portables, le fait d’effacer les outils du constructeur depuis Windows ou même de réinstaller complètement le système se solde par leur réinstallation automatique. Comment des logiciels peuvent-ils ainsi se remettre en place sans que l’utilisateur ne valide ou choisisse quoi que ce soit ?
Le constructeur place en fait un composant nommé « Lenovo Service Engine » directement dans le firmware de la carte mère. Le LSE est exécuté avant le chargement de Windows et a donc préséance. Il vérifie que le fichier « autochk.exe » dans le dossier SYSTEM32 de Windows est bien celui de Lenovo, et le remplace si ce n’est pas le cas. Cet exécutable sert normalement à vérifier l’intégrité de l’espace de stockage, mais la version de Lenovo va beaucoup plus loin.
Deux exécutables disposant de droits administrateurs
Elle commence par vérifier la présence de deux autres exécutables, « LenovoUpdate.exe » et « LenovoCheck.exe ». S’ils ne sont pas présents, ils sont copiés dans le dossier SYSTEM32 depuis le firmware. Ce qui signifie que les versions n’évoluent que via des mises à jour de ce dernier (certains de nos lecteurs voient déjà se profiler le souci principal). Ces deux fichiers s’exécutent avec des droits administrateurs et une fois Windows chargé, se connectent à Internet pour récupérer les pilotes, les utilitaires, un logiciel d’optimisation et tout ce que Lenovo juge bon que l’utilisateur ait à sa disposition.
Lenovo n’a en fait pas inventé cette méthode. Le constructeur utilise la Windows Platform Binary Table, créée spécifiquement pour permettre aux OEM d’installer automatiquement des pilotes et utilitaires depuis le firmware. D’après la documentation technique de la WPBT, Windows en lit les informations pour savoir où chercher le contenu à installer. Les exécutables doivent être natifs et se lancer en espace utilisateur, et Microsoft recommande qu’ils soient les plus sécurisés possibles.
L'inévitable faille de sécurité
Et c’est bien là que le bât blesse : une faille a bien été trouvée dans le LSE. Elle provient d’un dépassement de mémoire tampon et peut permettre à un autre exécutable de gagner des droits administrateurs. En définitive, l’utilisateur se retrouve en danger de voir du code malveillant s’exécuter sans qu’il ne puisse y faire quoi que ce soit, puisque l’ensemble tire parti d’un mécanisme sur lequel il n’est pas censé avoir le pouvoir.
Lenovo a été averti de ce problème en avril, mais il a fallu attendre juin pour qu’il laisse tomber le LSE et le supprime de tous les nouveaux portables commercialisés. Un peu plus tard, on a appris que certains ordinateurs fixes possédaient également le composant, mais seuls ceux commercialisés avec Windows 8/8.1 entre le 23 octobre 2014 et le 10 avril dernier sont touchés, tandis que les portables peuvent être sous Windows 7, 8/8.1 ou 10.
Lenovo n'a fait qu'exploiter une fonctionnalité de Windows
Le 31 juillet, Lenovo a fini également par mettre à disposition un outil supprimant toute trace du LSE sur les machines concernées. On peut le récupérer ici pour les portables et là pour les fixes. Mardi, le constructeur a communiqué officiellement sur le sujet, publiant au passage la liste complète des machines concernées. Comme durant l’affaire SuperFish, on remarque qu’aucun modèle estampillé Think n’est touché, laissant encore une fois le monde professionnel épargné et le grand public considéré comme trop ignare pour trouver à y redire.
Mais si Lenovo a choisi de court-circuiter l’utilisateur, il n’a fait qu’exploiter une fonctionnalité qui a bel et bien été prévue par Microsoft. Ce type de fonctionnement renvoie vers la problématique beaucoup plus générale de la maitrise qu’a le client de sa propre machine, sans parler du risque inhérent que de tels mécanismes représentent pour la sécurité. Le géant du logiciel ne peut pas se contenter d’appeler les OEM à fournir des outils « les plus sécurisés possibles » : si une fonctionnalité de ce genre doit perdurer, les règles doivent en être drastiques. Dans un monde idéal, elle ne devrait même pas exister.
Commentaires (127)
#1
super sioux cette méthode " />
#2
C’pour ça que monter son PC soi-même est largement plus meilleur bien.
#3
#4
T’arrive monter ton PC portable toi-même ?
Moi j’ai pas trouvé les pièces…
#5
#6
Sauf que beaucoup de personnes n’ont pas le temps/courage de faire ça, ni les connaissances nécessaires.
#7
Bon ben Lenovo terminé pour moi
#8
Les constructeurs n’ont pas intérêt à mettre ces “fonctionnalités” sur les modèles professionnels : ils perdraient les grosses entreprises qui veulent un contrôle des logiciels tournant sur leur parc. D’où surement leur absence sur les Think*
#9
Pour les netbook, tu as d’excellent produits fabriqués sans toute ses merdes.
Tu prend les PC LDLC sans OS, sans rien, le truc est vraiment nu de chez nu. Tellement nu qu’ils te fournissent même pas un CD de drivers avec ces chiens " />
#10
Sur le principe, ça partait d’une bonne intention, mais dans les faits…
Si seulement le projet coreboot pouvait être flashé sur toutes les machines, un BIOS/UEFI libre, ça aurait du bon, aussi…
#11
Le géant du logiciel ne peut pas se contenter d’appeler les OEM à
fournir des outils « les plus sécurisés possibles » : si une
fonctionnalité de ce genre doit perdurer, les règles doivent en être
drastiques. Dans un monde idéal, elle ne devrait même pas exister.
Cet outil est-il toujours présent dans Windows 10? Serait-il possible d’avoir un éclaircissement de la part de MS sur ce sujet afin de voir ci des actions sont prévues pour soit supprimer cette possibilité, soit pour la sécuriser réellement?
#12
Pour avoir eu des LDLC / Clevo vendu sans O.S., c’est parfois la merde sous Linux avec des pilotes non seulement difficiles à trouver, mais parfois foireux par rapport à la version Windows.
C’était le cas du chipset wifi (un Atheros il me semble) qui n’avait qu’une porté effective de 2m sous le manchot… Obligé à la fac d’utiliser le téléphone comme carte wifi-USB. :s
Une machine plus répandue aurait peut-être eu un meilleur support Linux pour le coup.
‘fin bref… Un ordinateur portable, c’est la merde quoi qu’il arrive par rapport à un fixe…
#13
La fin de l’article essaie de rejeter la faute au moins en partie sur MS, c’est franchement gonflé.
Il est évident que ce système a été mis en place à la demande expresse des OEM, d’ailleurs c’est pareil sur smartphone avec Android.
Pour ma part, désormais les portables/tablettes/smartphone c’est Apple/MS. J’aurai mis Nexus dedans il y a peu de temps, mais leur qualité/intérêt/suivi/tarif sont bcp trop disparates à mon goût.
J’espère que MS lancera des Surface Book en plus des Surface/Pro.
#14
l’idée du BIOS/UEFI Libre semble sympa, mais en réalité est-ce qu’il n’est pas dépendant des architectures proposées par les constructeurs ?
si c’est le cas, il faudrait un BIOS/UEFI libre par constructeur, ce qui je pense risque de poser des soucis quand à la création de ces outils libres.
Ce n’est que de la pure supposition, éclairez moi si je me trompe.
#15
#16
#17
Est-ce qu’on peut parler de faille de sécurité quand c’est mis volontairement par le concepteur?
#18
#19
Sur certains ordinateurs portables, le fait d’effacer les outils du constructeur depuis Windows ou même de réinstaller complètement le système se solde par leur réinstallation automatique. Comment des logiciels peuvent-ils ainsi se remettre en place sans que l’utilisateur ne valide ou choisisse quoi que ce soit ?
Le constructeur place en fait un composant nommé « Lenovo Service Engine » directement dans le firmware de la carte mère.
Les fourbes.
#20
Arrête l’informatique tout court du coup, ça sera plus simple.
#21
#22
#23
https://www.youtube.com/watch?v=VxwtDSP5vqs
#24
#25
Ya pas que chez lenovo que ça existe, il me semble avoir vu par exemple sur certaines machine sony et avec certaine carte mères, les utilitaires peuvent s’installer une fois que l’OS est en place.
Je pensais pas que c’était considéré comme une faille de sécurité, même si dans le cas ici il y a peut être bien un danger pour l’utilisateur.
#26
This package does four things:
Donc si l’on a encore Windows 7, il faut flasher le BIOS ?
D’ailleurs, dans le doute, ne faut-il pas flasher le BIOS dans tous les cas ?
#27
Non pas confiance et cela depuis la vente par IBM …
#28
”“le grand public considéré comme trop ignare pour trouver à y redire.””
oui oui et reoui pour certains
#29
flasher le BIOS c’est un coup à faire plaisir au plaisir aux informaticien avec tout les clients de base n’y connaissant rien." />
#30
La question : A qui faire confiance comme constructeur ?
#31
Et dire que j’avais imaginé que venant de lenovo c’etait possible de trouver un truc pareil, 1mois après avoir acheté mon pc avec TVA rembourser je commence à me dire que ce n’était pas une si bonne idée le pc est étrangement lent surtout pour démarrer cela lui prend aisément 3 minutes depuis sont SSHD qui ne me semble aussi performant qu’un hdd 5400 rpm donc a remplacer dès que possible.
#32
#33
#34
Rien n’empêche au fournisseur de ta carte mère de mettre une merde dans le firmware … Et si tous s’y mettent …
#35
#36
xptdr ! et pourquoi pas Numéricâble ou SFR pendant qu’on y est …
#37
#38
Je pense la même chose que toi. Les gammes nexus ont une qualité vraiment aléatoire (souvent très mauvais) avec des composants au rabais et google les laisse tomber assez vite. Donc , c’est MS/Apple pour moi niveau matériel.
#39
Mon Lenovo ne semble pas faire parti de la liste des PC touché par ce LSE.
Mais bon disque dur formaté après l’achat et Mint 17.1 dessus, je vois mal ce qui pourait arriver.
A+
PS: c’est ce que je reproche à Windows qui reste dans le fond un bon OS, dans le but de faciliter la vie de ceux qui ne prennent jamais la peine de savoir utiliser leur PC ou de le sécuriser, MS prévoit des “palliatifs” qui en fin de compte font plus de mal que de bien.
#40
#41
#42
C’est vrai qu’il n’y a aucune autre marque que lenovo…
#43
#44
#45
#46
#47
… bravo Lenovo (IBM racheté par les chinois …), après Starfish …
… chez les coréens c’est guère mieux ceci dit …
http://www.clubic.com/antivirus-securite-informatique/actualite-771614-samsung-d…
#48
#49
-_-’ Je reçois le mien demain.
#50
#51
Déjà qu’ils licencient alors qu’ils s’en sortaient pas trop mal (la Chine reste en partie à équiper) jusque là, effet superfish ou bulle chinoise qui commence a pêter ayant bon dos?
Ils vont s’en reprendre un petit coup! Au Final, c’est encore IBM qui aura eu qq années d’avance et du flair.
#52
J’espère que les Steam machines fonctionneront, dans 10ans je pourrais peut-être choisir le système que je veux vraiment :/
#53
#54
#55
#56
#57
Tiens si tu veux un portable à faire toi même.
http://www.pcspecialist.co.uk/laptops/
#58
moins complet niveau configuration quoique www.mysn.de
#59
Comme quoi, il n’y a pas que la NSA qui est capable de pourrir le firmware d’un composant informatique !
Chaud tout de même. Je sens bien que j’ai des interrogations mais ne sachant pas comment m’exprimer, je vais me retenir et lire les commentaires par après " />
#60
En tout cas lenovo c’est le meilleur rapport qualité/prix pour les portables.
#61
Puisque le LSE est dans le firmware de la carte mère, explique moi comment faire ? L’OS n’a rien avoir là dedans concrètement. Tu auras toujours le LSE sur ta carte mère, même si tu n’as pas de disque dur intégré je pense. Et quand bien même, tu ne peux pas acheter un matériel sans le firmware et on a bien vu que la NSA peut également se trouver dans le firmware d’un disque dur, si je ne m’abuse.
#62
L’intégration «tout automatique» de Microsoft laisse aussi un pont d’or pour toutes les véroles a ce niveau.
Un petit message «Certains composants additionnels permettrais a votre ordinateur de mieux fonctionner, voulez vous les installer ?» avec un choix a faire serais déjà un peu moins traitre envers l’utilisateur.
Encore faut il considérer que l’utilisateur sache prendre quelques décisions …
#63
#64
Les autres font pareil ou autrement… Dire Lenovo c’est fini alors que c’est probablement une des meilleures boites c’est un peu radical comme affirmation.
#65
#66
#67
#68
#69
#70
#71
#72
Suffit d’effacer cette merde grâce à un BootCD et à créer sois-même un faux fichier “LenovoUpdate.exe” de 26,608 octets, et un faux “LenovoCheck.exe” de 11,108 octets. Le firmware va voir que les fichiers existent et ne les remplacera pas.
#73
#74
#75
#76
#77
#78
#79
Mon galaxy nexus n’a pas reçu kit-kat sans raison valable. J’ai toujours eu des problèmes de réseau (il y avait des rumeurs avant sa sortie) et j’ai du changer moi même l’antenne (samsung ne voulait pas me le reprendre en garantie car il y avait un coup sur un bout de plastic en façade. Leur technicien ont oublié de remettre des vis aussi.
Nexus 4 => vitre brisée toute seule. Nexus 7 2012 inutilisable à cause de la mémoire de piètre qualité… Les nexus ont un suivi acceptable mais pas meilleure que celui d’apple. Ils sont moins fiable qu’un samsung (qui est pas terrible déjà) uo un lg de mon expérience et des lectures des forums. Le nexus 6 beaucoup trop grand pour moi mais beaucoup de mauvais retour.
Certaines tab sous RT recevront une mis à jour light… Les surfaces pro sont des pures merveilles comme l’était leur baladeur Zune. Google est vraiment à la rue question hardware.
J’aurai pu remonter au nexus one et sa valse de dalle amoled - lcd qui était dual touch qui bugait dans pleins d’application… Nexus q au prix prohibitif et abandonné avant d’être commercialisée
#80
Si les autres font pareil, pourquoi nextinpact titre “scandale”, dans ses cas-là il n’y aurait aucune news sur ce sujet, puisque se serait la norme, je me trompe peut-être mais bon, je n’ai pas souvenir de polémique de ce genre et surtout aussi proche l’une de l’autre avec Acer, Dell et d’autres.
#81
ce scandale me fait penser à microsoft qui installe sans le consentement du consommateur les maj, logiciels et fonctionnalités sur windows 10 familial.
#82
#83
Moi j’ai acheté en 2011 un Thinkpad sans OS.
Marche très bien avec un SSD et sans spyware…
#84
L’inversion du contrôle n’est pas qu’une technique de développement logiciel. C’est devenu une stratégie industrielle dans la high-tech.
On est entré dans une ère où les applications, systèmes d’exploitation et composants matériels sont conçus pour volontairement contrôler et limiter les usages. Tout juste nous accorde-t-on une licence d’utilisation, à condition de ne pas chercher à contourner ces contrôles/limitations… sous peine de poursuites.
C’est triste à dire, mais il va falloir s’habituer à ces pratiques, et apprendre à vivre avec des limiteurs/contrôleurs intégrés aux appareils high-tech.
#85
#86
#87
#88
#89
#90
#91
Avant de crier au scandale, vous devriez lire le début de la page indiquée dans la news. Je cite :
“Note: This is from the product itself and not from the network. To help
you continue to upgrade system firmware and software, in order to make
your system more stable, safe and high performance, download and install
the Lenovo system optimization software. The software download process
needs to connect to the internet. Click here to read the Lenovo License
Agreement LLA” and then has a box to either cancel, or to agree and
install.
Il y a donc bel et bien demande de confirmation de la part de l’utilisateur. Il n’y a pas d’installation forcée et automatique à son insu.
#92
#93
#94
#95
#96
#97
Et ? Cela constitue-t-il un scandale ?
#98
#99
#100
#101
#102
#103
Je pense que si ce genre de saloperies installés par les constructeurs tournaient chez tout le monde, ça se saurait.
#104
#105
Gigabyte fait de très bons pc portables sinon. La qualité du matos est bonne et 0 merdes installées sauf les outils maison (pour le contrôle des ventilos, activation du bluetooth, un mode économie d’énergie, ce genre de trucs).
#106
#107
#108
J’ai un portable LDLC Clevo et pas un seul problème avec Mageia 4⁄5 !
#109
#110
T’as un portable LDLC/Clevo toi non ? Avec Mageia 4⁄5 même. Je sens que tu ne dois pas voir de probleme.
#111
#112
Penser surtout à ceux qui mettront en carafe leur ordi en faisant leur manipulation." />
#113
il n’y a très peu de problème sur les iphones comparativement aux autres marques. Les iphones sont produits de 10 à 100x plus que les modèles concurrents. La couverture médiatique et l’argent qu’on peut tirer des news Apple fait que dès qu’un de leur produit sort des millions de personnes essayent de trouver des problèmes (beardgate) , si on faisait le même que pour les marques de pacotilles sous android, tu rirais moins je pense.
Tout est extrapolé lorsque ça touche l’iphone… Ils font rapidement des mis à jour et ont un vrai service après vente eux. Mes pires expériences ont été chez samsung et sony (sûrement le pire au niveau des laptops).
Il faut comparer ce qui est comparable…
#114
" />
#115
Sinon, t’as pas de problème avec ton LDLC ?
#116
merci pour ce site!
#117
#118
On s’en rend compte que maintenant? Les Pc Lenovo sont truffés de saloperies depuis très longtemps. J’ai travaillé pendant pendant 6 ans dans l’éducation nationale et quand je déployais des Pc, je passais beaucoup de temps à nettoyer les mouchards et bases de registres. Le pire c’est que c’est la marque préférée de l’administration publique Parce que moins chére mais coûte chére au final car la sécurité des données est compromise. Quand est ce qu’en France on comprendra que la Chine nous espionne à travers leurs composants et machines qu’ils nous vendent à bas prix?
#119
Parce que tu le savais, toi, avant, pour Lenovo?
#120
#121
#122
#123
#124
Nope. Mais logiquement Lenovo accuse MS pour leur soft distribué qui peut permettre ça, tu es chercheur en sécurité c’est quoi ton premier réflexe ? Aller voir si chez les autres l’exploit est reproductible, ça tombe sous le sens.
#125
Et donc?
Tu crois vraiment que tous les exploits… ou même ne serait-ce que une majorité… sont rendus publics?
#126
#127