SHAREit, une application de partage de fichiers proposée par Lenovo, était victime de plusieurs failles de sécurité. Selon un bulletin publié par CoreSecurity, la liste des griefs est longue : mot de passe enregistré en clair, absence de chiffrement, etc.
Au cours des derniers mois, Lenovo a régulièrement fait la une des journaux. Si c'est parfois grâce à l'annonce de nouvelles machines, c'est aussi à cause de scandales liés à la sécurité. On se souviendra par exemple d'un outil (ré)installant automatiquement des logiciels, mais surtout de l'adware SuperFish. Et ce n'est pas fini, puisque l'année 2016 débute sur les chapeaux de roues pour le fabricant.
SHAREit : un partage de fichiers facile... beaucoup trop facile même
CoreSecurity, une société américaine spécialisée dans la sécurité informatique, explique en effet que plusieurs versions du logiciel SHAREit de Lenovo, qui permet de partager facilement des fichiers sur de multiples plateformes et qui revendique 30 millions d'utilisateurs, étaient victime de plusieurs failles de sécurité.
La première brèche concerne l'application Windows en version 2.5.1.1. Lorsqu'elle « est configurée pour recevoir des fichiers, un point d'accès Wi-Fi est mis en place avec un mot de passe très simple (12345678). N'importe quelle machine avec du Wi-Fi pourrait se connecter à ce point d'accès en utilisant ce mot de passe. C'est toujours le même ». Dans tous les cas, un mot de passe écrit en clair dans une application est une mauvaise idée, mais le fait qu'il soit aussi simple est un facteur aggravant. Pour rappel, 12345678 est classé troisième dans les pires mots de passe de l'année dernière, il faut dire qu'il est tout sauf sécurisé.
Sur Android (3.0.18_ww) et Windows (2.5.1.1) cette fois-ci, lorsque l'application est configurée pour recevoir des fichiers, « un point d'accès Wi-Fi est créé sans mot de passe », laissant ainsi n'importe qui se connecter sur le terminal. Ce n'est pas tout et le transfert des fichiers ne se faisait apparemment pas de manière chiffrée, laissant ainsi une personne sur le même réseau intercepter les échanges. Via une attaque de l'homme du milieu, cela aurait également pu permettre de modifier les données lors du transfert.
Les applications ont été corrigées en amont
Quoi qu'il en soit, les deux versions des applications de SHAREit ont bien évidemment été corrigées et il est donc important de se mettre à jour, si ce n'est pas déjà fait. Sur son site, CoreSecurity propose une timeline qui permet de suivre les échanges qui ont eu lieu avec les équipes de Lenovo pour le signalement et la correction des failles. On y apprend que le premier contact date du 29 octobre, soit il y a presque trois mois maintenant.
Commentaires (28)
#1
Lenovo, what else?
" />
#2
Toujours au top chez Lenovo
" />
#3
Mise à jour = quitter Lenovo ?
#4
#5
Surement le coup d’un stagiaire !
" />
#6
Non mais…
" />
#7
Ça transpire le « on s’en fout » à tellement de niveaux ce truc
" />
#8
Un seul? pas plutôt tous ceux qui ont succédé les uns après les autres?
#9
#10
il n’y avait pas de chiffrement non plus
12345678, c’est chiffré non ?
#11
et en l’écrivant à l’envers, le chiffrement est 7,1x + fort
" />
#12
En fait, Lenovo est un précurseur de l’application du principe de la libre circulation des infos et du principe de libre choix.
" />
L’idée générale c’est de ne strictement rien sécuriser dans les transferts publics et de tout laisser libre d’interception.
Les envoyeurs et les destinataires sachant cela, libre à eux de chiffrer leurs données si c’est important.
C’est loin d’être idiot
#13
Bah au moins reconnaissons que l’application n’a pas usurpé son nom :)
#14
Quoi qu’il en soit, les deux versions des applications de SHAREit ont bien évidemment été corrigées
Désormais, le mot de passe est 123456789
#15
#16
#17
Rhaaa les guignolos….
#18
#19
Ne rigoles pas trop.
" />
Chez Konica Minolta, les copieurs arrivaient avec le code 012345678 !
Et bien maintenant, c’est 012345678012345678
Certes, c’est plus long, mais les techniciens recommandent de ne pas le changer, cela pourrait faire disfonctionner le copieur.
#20
j’ai eu affaire à un PC portable neuf de chez Lenovo…
" />
ShareIt est pas la seule bousse à désinstaller il y a aussi une dizaine de conneries de chez eux.
Ils proposent même au démarrage du PC de créer un LenovoID c’est trop mignon
J’ai tout viré et ça marche aussi bien. Je croyais que Lenovo avait changer sa politique au sujet des bloatwares ?!?!
#21
#22
#23
Déjà eu le coup avec un progiciel dont l’éditeur ne voulait pas qu’on change les MDP par défaut des comptes admin et base de données.
Ils ont eu comme réponse l’équivalent de ton avatar, on l’a fait, et ça marche très bien depuis.
#24
#25
Vu que je vais m’en prendre un chez eux (entre un T450 sous Windows 7 et un E460 sous Windows 10 (pas 7, merci Skylake et MS), mon coeur balance… Et je te dirais combien de merdes j’ai viré
" />
#26
Ce n’est pas pour un problème vis-à-vis des utilisateurs interne le mot de passe.
Le soucis peut venir d’une attaque par le fax, d’une attaque par virus, en local, avec récupération de tout ce qui transite par le copieur multifonction (c’est le côté multi qui est sympa dans ce contexte), etc…
Après, si je ne peux même plus glisser un 0 dans le mdp… :p
#27
je ne suis pas contre l’idée de mettre un mdp par défaut sur un copieur, un routeur ou n’importe quelle machine d’ailleurs (c’est bien pratique), mais il FAUT qu’ils t’indiquent clairement la manip pour le changer ou encore mieux qu’ils te force à le changer à la première connexion (c’est le cas des machins Cisco il me semble)
#28
Chez moi le mot de passe du wifi est : 11111111111111111111111111
Il faut juste pas se tromper dans le nombre de 1.