Lenovo doit faire face à un nouveau problème de sécurité, obligeant les utilisateurs à récupérer eux-mêmes une mise à jour s’ils ne veulent pas être vulnérables. L’exploitation de la faille pourrait permettre l’envoi de fausses mises à jour à une machine.
Être transparent et faire front
Le constructeur chinois se remet toujours doucement de sa mésaventure avec le logiciel SuperFish et la grande polémique qui a suivi sur la sécurité désastreuse qui l’accompagnait. Plusieurs gammes de portables grand public étaient en effet livrées avec cette solution de mise en relation des produits recherchés sur la toile, dont la mission était d’afficher des produits similaires ou d’autres offres. Cependant, SuperFish utilisait un certificat pour s’insinuer dans les communications chiffrées du navigateur. Pire, ce certificat était le même pour toutes les machines, ouvrant la voie à de nombreuses attaques du type « homme du milieu ».
Depuis, Lenovo a déclaré qu’il souhaitait devenir une référence en matière d’offre logicielle livre par défaut avec ses machines. Plusieurs annonces ont été faites en ce sens, mais le constructeur doit à nouveau faire face à un problème, après que plusieurs failles lui ayant été révélées en février ont finalement été corrigées… mais pas de manière totalement automatique pour les utilisateurs.
Un correctif essentiel qu'il faut penser à valider
Ces brèches de sécurité ont été signalées à la société en février, qui en a tenu bonne note. Une mise à jour a été publiée pour le logiciel System Update, dont l’objectif est de récupérer des correctifs pour les installer, même quand l’utilisateur ne possède pas de droits élevés sur sa machine. Pour réaliser cette opération, le service communique via un canal spécial avec un exécutable qui, lui, possède des droits SYSTEM. La sécurité est contrôlée par un jeton d’identification, mais selon le bulletin posté par IOActive, le comportement du jeton est prévisible, et peut donc être un vecteur d’attaque. Les utilisateurs sont donc particulièrement vulnérables sur les réseaux publics.
La solution est d’installer la mise à jour, puisque les failles ont été corrigées, sur les machines concernées : tous les ThinkPad, ThinkCentre, ThinkStation, ainsi que les séries V/B/K/E. Malheureusement, le correctif ne peut pas s’installer seul : soit l’utilisateur accepte la proposition faite par le logiciel, soit il doit aller chercher lui-même le patch. À moins que les personnes concernées soient informées (à travers cette actualité par exemple), beaucoup n’auront aucun moyen de savoir ce qu’elles risquent. Car le logiciel de Lenovo n’est pas le seul à proposer l’installation d’une mise à jour. Flash, Air, Java ou autres proposent régulièrement de nouvelles versions, et trop d’utilisateurs finissent par ne plus les faire, tant ils les trouvent pénibles.
Ce type de patch devrait-il s'installer seul ?
C’est précisément ce qui est critiqué par plusieurs sociétés de sécurité. IOActive d’une part, mais également ISX, dont le directeur de la sécurité, John Walker, s’est exprimé chez SC Magazine : « Les pirates nous disent aujourd’hui " Vous savez quoi, si vous voulez pirater quelque chose, ne cherchez rien de nouveau, utilisez les systèmes et mécanismes qui sont déjà là " ». Il y voit un moyen d’entrer dans de nombreuses machines et d’y semer aisément des malwares. Même son de cloche pour TK Keanini, directeur technique de Lancope : « Tous les logiciels peuvent contenir des failles et ils ont tous besoin d’être entretenus face à une menace active. Le problème est que les gens ont besoin de mettre à jour leur ordinateur. Que Lenovo rende un correctif disponible n’est pas suffisant. Les entreprises qui utilisent ces produits doivent s’assurer que leurs utilisateurs ont installé la mise à jour, par tous les moyens possibles ».
Lenovo a réagi également auprès de nos confrères pour indiquer que tout avait été fait. Pour le constructeur, puisque la mise à jour est proposée, il n’y a pas réellement de problème. On peut se demander cependant si des composants aussi critiques sur un système ne devraient pas procéder autrement. Par exemple, les mises à jour de sécurité sous Windows s’installent par défaut et préviennent l’utilisateur qu’il faut redémarrer. Chrome, Firefox ou encore Opera vont même plus loin : les nouvelles moutures sont installées, l’utilisateur les découvrant au redémarrage suivant du navigateur.
À l’heure où les brèches de sécurité n’en finissent plus d’être dévoilées et où les fuites d’informations abondent, une vraie réflexion sur la gestion des correctifs pourrait être salutaire pour bon nombre d’entreprises. D'un autre côté, certaines mises à jour causent parfois plus de problèmes qu'elles n'en résolvent, il faut donc trouver le juste milieu, ce qui n'est pas toujours simple lorsqu'il faut s'installer sur des milliers de machines.
Commentaires (9)
Le problème c’est que certains verront ça comme une forme d’intrusion sur le peu de contrôle qu’ils ont sur certains composant.
L’idéal serait effectivement une mise à jour silencieuse lorsque c’est pour quelque chose de critique mais Lenovo doit sûrement vouloir composer avec les deux camps.
hereusement que vous etes la car j’aurai pas été au courant
et en plus c’est mon seul ordinateur et j’en ait besoin pour mes etudes perci a vous :)
Mon system update ne me propose pas de M.A.J. par contre ça y est, il vient de m’annoncer que mon R61 n’étais plus pris en charge pour certains composants :( bon PC de 2007 il aura fait son temps et toujours à l’état neuf (920€ à l’époque)!
*edit* ah bah j’ai déjà la dernière version, elle est sortie il y a plus de 10 jours du coup
Ils veulent devenir une référence ? Et bien c’est simple : il suffit de ne pas installer tous ces pourriciels inutiles.
Un lien vers la page contenant les mises à jour, ça doit suffire ! Surtout vu le nombre de mises a jours que fournissent les fabricants en général.
Bref : premier geste à faire à la réception d’une machine : formater et ne rien installer des fabricants hormis les pilotes (quoique ces derniers ne sont pas toujours vraiment à jour….)
Bon, dans le doute, j’ai récupéré la MAJ sur le site de Lenovo pour mon TP.
Oui sauf que là, dans le tas de soft lenovo, tu as le soft permettant de gérer les batteries (y compris la batterie additionnelle en ultrabay) et la gestion de l’économie d’énergie… Donc quasiment obligatoire.
Au moins, sous GNU/Linux y a pas ce genre de soucis et pour les correctifs de failles en tout genre sont proposés très rapidement :)
Sinon j’ai un portable Lenovo (d’origine sous XP) et, comme partout, il était bourré de versions d’essais et autres pourriciels. Du coup, j’avais réinstallé un XP tout neuf de base, mais après un certain vu l’utilisation qui en était faire j’ai préféré le faire basculer sous Ubuntu et finalement c’était une bonne décision puisqu’il tourne toujours très bien (et tout était reconnu).