Ordinateurs Lenovo : une faille de sécurité dans les mises à jour

Lenovo Yoga 3 ProLenovo Yoga 3 Pro

IOActive, société spécialisée en sécurité, dénonce une nouvelle faille dans les machines Lenovo. Installée dans le système de mise à jour de ses ordinateurs, elle permettrait aux pirates de remplacer les logiciels originaux de Lenovo par des malwares et de piloter leurs données à distance.

Les hackers seraient en mesure de créer un faux certificat d’authenticité et de s’introduire en toute simplicité dans les ordinateurs de Lenovo. Pour ce faire, il suffit qu’un utilisateur mette à jour sa machine depuis un point d’accès public, comme un Starbucks ou un MacDonald’s. Si une personne malintentionnée se trouve sur le même réseau, elle peut très facilement utiliser le trou de sécurité et en profiter pour remplacer le programme de mise à jour de Lenovo par un logiciel malveillant.

Les chercheurs d’IOActive rapportent avoir observé cette faille dans la version 5.6.0.27 du System Update de Lenovo. Toutes les versions ultérieures sont également touchées.

Deuxième faille en moins de trois mois

C’est la seconde fois que Lenovo se retrouve dans la panade avec un problème de sécurité cette année. En février dernier, un problème similaire lui avait été rapporté. Le constructeur chinois a sorti un correctif en mars pour combler cette faille. Problème, pour appliquer ce patch, l’utilisateur doit passer par le service de mise à jour de Lenovo qui, comme on l’a vu, n’est pas sécurisé à l’heure actuelle. Une vague sensation d’un chien qui se mord la queue.

Antivirus : quelle est la meilleure suite de sécurité ?

Posez une question dans la catégorie News du forum
Cette page n'accepte plus de commentaires
Soyez le premier à commenter
    Votre commentaire