SHAREit, une application de partage de fichiers proposée par Lenovo, était victime de plusieurs failles de sécurité. Selon un bulletin publié par CoreSecurity, la liste des griefs est longue : mot de passe enregistré en clair, absence de chiffrement, etc.
Au cours des derniers mois, Lenovo a régulièrement fait la une des journaux. Si c'est parfois grâce à l'annonce de nouvelles machines, c'est aussi à cause de scandales liés à la sécurité. On se souviendra par exemple d'un outil (ré)installant automatiquement des logiciels, mais surtout de l'adware SuperFish. Et ce n'est pas fini, puisque l'année 2016 débute sur les chapeaux de roues pour le fabricant.
SHAREit : un partage de fichiers facile... beaucoup trop facile même
CoreSecurity, une société américaine spécialisée dans la sécurité informatique, explique en effet que plusieurs versions du logiciel SHAREit de Lenovo, qui permet de partager facilement des fichiers sur de multiples plateformes et qui revendique 30 millions d'utilisateurs, étaient victime de plusieurs failles de sécurité.
La première brèche concerne l'application Windows en version 2.5.1.1. Lorsqu'elle « est configurée pour recevoir des fichiers, un point d'accès Wi-Fi est mis en place avec un mot de passe très simple (12345678). N'importe quelle machine avec du Wi-Fi pourrait se connecter à ce point d'accès en utilisant ce mot de passe. C'est toujours le même ». Dans tous les cas, un mot de passe écrit en clair dans une application est une mauvaise idée, mais le fait qu'il soit aussi simple est un facteur aggravant. Pour rappel, 12345678 est classé troisième dans les pires mots de passe de l'année dernière, il faut dire qu'il est tout sauf sécurisé.
Sur Android (3.0.18_ww) et Windows (2.5.1.1) cette fois-ci, lorsque l'application est configurée pour recevoir des fichiers, « un point d'accès Wi-Fi est créé sans mot de passe », laissant ainsi n'importe qui se connecter sur le terminal. Ce n'est pas tout et le transfert des fichiers ne se faisait apparemment pas de manière chiffrée, laissant ainsi une personne sur le même réseau intercepter les échanges. Via une attaque de l'homme du milieu, cela aurait également pu permettre de modifier les données lors du transfert.
Les applications ont été corrigées en amont
Quoi qu'il en soit, les deux versions des applications de SHAREit ont bien évidemment été corrigées et il est donc important de se mettre à jour, si ce n'est pas déjà fait. Sur son site, CoreSecurity propose une timeline qui permet de suivre les échanges qui ont eu lieu avec les équipes de Lenovo pour le signalement et la correction des failles. On y apprend que le premier contact date du 29 octobre, soit il y a presque trois mois maintenant.
