Lenovo propose un important correctif pour son module intégré de mises à jour

Quand installer un correctif, et comment ? 9
En bref
image dediée
Crédits : alphaspirit/iStock
Sécurité
Vincent Hermann

Lenovo doit faire face à un nouveau problème de sécurité, obligeant les utilisateurs à récupérer eux-mêmes une mise à jour s’ils ne veulent pas être vulnérables. L’exploitation de la faille pourrait permettre l’envoi de fausses mises à jour à une machine.

Être transparent et faire front

Le constructeur chinois se remet toujours doucement de sa mésaventure avec le logiciel SuperFish et la grande polémique qui a suivi sur la sécurité désastreuse qui l’accompagnait. Plusieurs gammes de portables grand public étaient en effet livrées avec cette solution de mise en relation des produits recherchés sur la toile, dont la mission était d’afficher des produits similaires ou d’autres offres. Cependant, SuperFish utilisait un certificat pour s’insinuer dans les communications chiffrées du navigateur. Pire, ce certificat était le même pour toutes les machines, ouvrant la voie à de nombreuses attaques du type « homme du milieu ».

Depuis, Lenovo a déclaré qu’il souhaitait devenir une référence en matière d’offre logicielle livre par défaut avec ses machines. Plusieurs annonces ont été faites en ce sens, mais le constructeur doit à nouveau faire face à un problème, après que plusieurs failles lui ayant été révélées en février ont finalement été corrigées… mais pas de manière totalement automatique pour les utilisateurs.

Un correctif essentiel qu'il faut penser à valider

Ces brèches de sécurité ont été signalées à la société en février, qui en a tenu bonne note. Une mise à jour a été publiée pour le logiciel System Update, dont l’objectif est de récupérer des correctifs pour les installer, même quand l’utilisateur ne possède pas de droits élevés sur sa machine. Pour réaliser cette opération, le service communique via un canal spécial avec un exécutable qui, lui, possède des droits SYSTEM. La sécurité est contrôlée par un jeton d’identification, mais selon le bulletin posté par IOActive, le comportement du jeton est prévisible, et peut donc être un vecteur d’attaque. Les utilisateurs sont donc particulièrement vulnérables sur les réseaux publics.

La solution est d’installer la mise à jour, puisque les failles ont été corrigées, sur les machines concernées : tous les ThinkPad, ThinkCentre, ThinkStation, ainsi que les séries V/B/K/E. Malheureusement, le correctif ne peut pas s’installer seul : soit l’utilisateur accepte la proposition faite par le logiciel, soit il doit aller chercher lui-même le patch. À moins que les personnes concernées soient informées (à travers cette actualité par exemple), beaucoup n’auront aucun moyen de savoir ce qu’elles risquent. Car le logiciel de Lenovo n’est pas le seul à proposer l’installation d’une mise à jour. Flash, Air, Java ou autres proposent régulièrement de nouvelles versions, et trop d’utilisateurs finissent par ne plus les faire, tant ils les trouvent pénibles.

Ce type de patch devrait-il s'installer seul ?

C’est précisément ce qui est critiqué par plusieurs sociétés de sécurité. IOActive d’une part, mais également ISX, dont le directeur de la sécurité, John Walker, s’est exprimé chez SC Magazine : « Les pirates nous disent aujourd’hui " Vous savez quoi, si vous voulez pirater quelque chose, ne cherchez rien de nouveau, utilisez les systèmes et mécanismes qui sont déjà là " ». Il y voit un moyen d’entrer dans de nombreuses machines et d’y semer aisément des malwares. Même son de cloche pour TK Keanini, directeur technique de Lancope : « Tous les logiciels peuvent contenir des failles et ils ont tous besoin d’être entretenus face à une menace active. Le problème est que les gens ont besoin de mettre à jour leur ordinateur. Que Lenovo rende un correctif disponible n’est pas suffisant. Les entreprises qui utilisent ces produits doivent s’assurer que leurs utilisateurs ont installé la mise à jour, par tous les moyens possibles ».

Lenovo a réagi également auprès de nos confrères pour indiquer que tout avait été fait. Pour le constructeur, puisque la mise à jour est proposée, il n’y a pas réellement de problème. On peut se demander cependant si des composants aussi critiques sur un système ne devraient pas procéder autrement. Par exemple, les mises à jour de sécurité sous Windows s’installent par défaut et préviennent l’utilisateur qu’il faut redémarrer. Chrome, Firefox ou encore Opera vont même plus loin : les nouvelles moutures sont installées, l’utilisateur les découvrant au redémarrage suivant du navigateur.

À l’heure où les brèches de sécurité n’en finissent plus d’être dévoilées et où les fuites d’informations abondent, une vraie réflexion sur la gestion des correctifs pourrait être salutaire pour bon nombre d’entreprises. D'un autre côté, certaines mises à jour causent parfois plus de problèmes qu'elles n'en résolvent, il faut donc trouver le juste milieu, ce qui n'est pas toujours simple lorsqu'il faut s'installer sur des milliers de machines.


chargement
Chargement des commentaires...