🔴 French Days en direct 🔴 French Days en direct

Vous avez un PC Lenovo ? Attention à cette vulnérabilité constructeur très répandue

Alexandre Schmid
23 avril 2022 à 18h35
11
© Lenovo
© Lenovo

Les PC portables Lenovo ont récemment reçu une mise à jour de sécurité comblant trois failles exploitant des vulnérabilités du firmware. Les attaques qu'elles permettaient sont qualifiées de dangereuses par un expert à l'origine de leur découverte.

Des millions d'ordinateurs portables des gammes Flex, IdeaPad, Legion, V14, V15, V17 et Yoga du constructeur Lenovo étaient vulnérables à trois failles de sécurité pouvant permettre à des pirates de diffuser et d'exécuter du code malveillant sur les machines.

Des vulnérabilités au niveau du micrologiciel

Les trois vulnérabilités sont liées à l'UEFI (Unified Extensible Firmware Interface). Selon le chercheur en sécurité Martin Smolár, de la société ESET, les menaces de ce type sont « extrêmement furtives et dangereuses ».

Il explique qu'elles sont exécutées au début du processus de démarrage, avant même que le système d'exploitation prenne la main. Elles peuvent donc contourner presque toutes les mesures de sécurité, et sont à la fois difficiles à repérer et à supprimer.

La première faille, CVE-2021-3970, est relative à une corruption de la mémoire dans le System Management Mode (SMM) du firmware, pouvant entraîner l'exécution de code malveillant avec les privilèges les plus élevés.

Des correctifs ont été déployés

Les deux autres vulnérabilités, CVE-2021-3971 et CVE-2021-3972, affectent des pilotes du micrologiciel qui étaient initialement destinés à être utilisés uniquement pendant le processus de fabrication des PC portables de Lenovo, apprend-on. D'après Martin Smolár, ces pilotes ont été inclus par erreur dans les images du BIOS des unités commercialisées et sont restés actifs.

Ces deux failles de sécurité peuvent permettre à un pirate de désactiver des protections SPI ou le Secure Boot de l'UEFI dans le but d'installer des malwares survivant au redémarrage du système.

Lenovo a été mis au courant de l'existence de ces trois vulnérabilités le 11 octobre 2021. Le fabricant a publié des patchs correctifs le 12 avril 2022. Si vous avez conservé les services Lenovo préinstallés sur votre PC portable, vous devriez avoir reçu la mise à jour sans intervention. Dans le cas contraire, nous vous conseillons d'installer le correctif manuellement ou de télécharger l'utilitaire System Update de Lenovo.

Source : WeliveSecurity

Alexandre Schmid

Alexandre Schmid

Gamer et tech enthusiast, j’ai fait de mes passions mon métier. Diplômé d’un Master en RNG sur Hearthstone. Rigole aux blagues d’Alexa.

Lire d'autres articles

Gamer et tech enthusiast, j’ai fait de mes passions mon métier. Diplômé d’un Master en RNG sur Hearthstone. Rigole aux blagues d’Alexa.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (11)

tux.le.vrai
des failles propres à Lenovo ?<br /> si je monte mon PC, en achetant carte mère, processeurs, … Je suis le constructeur.<br /> En fait, la sécurité dépend donc du bios de la carte mère ?
Sampro
Déjà fait
juju251
tux.le.vrai:<br /> En fait, la sécurité dépend donc du bios de la carte mère ?<br /> Pour certaines choses, oui.
Yannick2k
Etant donné que tu ne construis rien, mais que tu ne fais que assembler des composants, tu es dépendant du constructeur des composants… donc oui, et pas que seulement le BIOS de la carte mère… bios de carte graphique, les drivers, l’OS etc…
gothax
Lenovo est une petite PME ahaha
flateric_oyzo
sauf qu’on ne sait pas par quel biais les pirates déploient leur attaques sur les machines de particuliers dans la vraie vie. comment ils peuvent savoir si y’a un lenovo portable derrière telle ou telle adresse IP? Bonne chance aux pirates pour tomber pile poil sur une machine « compatible ».
tux.le.vrai
Est-ce des failles laissées volontairement par un constructeur de PC chinois qui exporte dans le monde entier pour pouvoir les exploiter ?<br /> Pas celles là ? d’autres peut-être ?
Popoulo
@flateric oyzo : Ce ne sont pas les particuliers les plus visés dans ce genre d’attaques, ça leur sert à rien.<br /> Bon, encore des « failles » qui demandent des conditions assez lolesques :<br /> « may allow an attacker with local access and elevated privileges to execute arbitrary code. »<br /> Et on constatera le « may allow ». Alignement des planètes toussa.
Voir tous les messages sur le forum
Les tendances

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

Vous avez un PC Lenovo ? Attention à cette vulnérabilité constructeur très répandue Vous avez un PC Lenovo ? Attention à cette vulnérabilité constructeur très répandue
Microsoft corrige 74 vulnérabilités, dont 7 critiques, affectant toutes les versions de Windows Microsoft corrige 74 vulnérabilités, dont 7 critiques, affectant toutes les versions de Windows
Le patch d’octobre d’Android corrige 41 failles de sécurité, critiques mais inexploitées Le patch d’octobre d’Android corrige 41 failles de sécurité, critiques mais inexploitées
Apple corrige pas moins de 37 vulnérabilités sur tous ses appareils Apple corrige pas moins de 37 vulnérabilités sur tous ses appareils
Votre smartphone Android est-il concerné par ces 3 failles critiques qui permettent de l'écouter ? Votre smartphone Android est-il concerné par ces 3 failles critiques qui permettent de l'écouter ?