Les lecteurs d’empreintes des machines Lenovo doivent être mis à jour

Quis custodiet ipsos custodes ? Disait ce bon vieux Juvénal en ouvrant son frigo et en constatant qu’on lui avait piqué une amphore de vin. Qui gardera les gardiens ? C’est le problème posé par cette vulnérabilité découverte dans les lecteurs d’empreintes des machines Lenovo.

Lenovo a publié une mise à jour de sécurité  à ne pas rater si vous êtes le possesseur d’une machine Lenovo exploitant un lecteur d’empreintes pour vous identifier. Les Thinkpad, Thinkstation et Thinkcenter sorties sous Windows 7, 8 et 8.1 sont impactées, les machines récentes sous Windows 10 utilisent un autre outil. Elles doivent donc toute passer par la case téléchargement pour éviter de gros bobos à vos données.

2018-01-30 11_55_34-minimachines.net

Car, petit problème, l’installation par défaut du logiciel gérant les empreintes digitales a une petite vulnérabilité problématique. Le logiciel Finger Manager pro de Lenovo utilise un chiffrement de protection jugé beaucoup trop faible.

Cela ne pose pas de soucis en règle générale mais devant l’étendue de la gamme Think de Lenovo, il devient « rentable » pour un pirate de créer un outil spécialisé dans le « traitement » de ce déchiffrement. Le logiciel Lenovo Finger Manager Pro censé être le gardien de vos empreintes mais également de vos mots de passe pourrait alors se révéler être la porte dérobée par laquelle les pirates pourraient accéder à vos données. Un cheval de Troie d’autant plus efficace qu’il est installé par défaut sur les machines et certifié par la marque qui vend la machine.

2018-01-30 11_46_59-minimachines.net

Les machines sous Windows 10 utilisant les fonctions Windows Hello ne sont pas impactées. Deux choix donc, soit passer à Windows 10, soit  mettre à jour votre PC Lenovo avec la mise à jour publiée le 25 Janvier par Lenovo. Une page recense les ordinateurs concernés et les versions de Windows affectées.

2018-01-30 11_53_07-minimachines.net

Reste une question que je me pose, comment Lenovo a pu laisser cet outil fonctionner pendant des années, depuis Windows 7 quand même, sans être alerté de cette problématique. Un détail est obligeamment mentionné par la marque « Lenovo thanks Jackson Thuraisamy from Security Compass for identifying this issue.1 » Cela veut dire que ce n’est pas du côté de Lenovo que l’alerte est venue. Comme souvent, il s’agit d’un chercheur en sécurité qui fait le travail d’alerte en découvrant la faiblesse d’une protection et qui alerte les marques.

Qui gardera les gardiens donc ? La réponse est là. Un tiers, ne faisant pas partie de la société, décide d’alerter du potentiel danger de sécurité de son outil. Ce n’est pas sa tâche et souvent ces failles sont trouvées au gré du hasard. Ce qui me laisse toujours un goût amer. Car d’autres ne recherchent pas ce genre de failles par hasard, c’est leur métier. Et l’autre partie de leur boulot, c’est de les exploiter.

Notes :

  1. A ce propos le blog de Security Compass est fort intéressant !
9 commentaires sur ce sujet.
  • 30 janvier 2018 - 12 h 10 min

    Mmm… Il me semblait avoir compris que les entreprises qui recherchent les failles très souvent ne les exploitent pas. Le boulot c’est de vendre les failles trouvées. C’est du commerce.

    Répondre
  • 30 janvier 2018 - 13 h 31 min

    @starlord: Oui on appelle ça le « bug bounty », généralement à l’initiative des entreprises voulant auditer leurs systèmes, mais l’inverse est aussi vrai (entreprises proposant d’être rémunérées pour trouver des failles de sécurité).

    Bref, le volume d’utilisateurs devient alors une mine d’or pour celui qui souhaite exploiter la faille de manière perverse. Encore une faille de sécurité à grande échelle découverte.

    Je connais et respecte l’avis de Pierre à propos de Spectre et Meltdown (ne pas céder aux titres amplifiés de la presse), ceci dit, je pense qu’il est fort probable que de gros scandales de sécurité basés sur ces deux derniers peuvent apparaître en 2018.

    Répondre
  • Cid
    30 janvier 2018 - 15 h 11 min

    Boaf tout mon parc est en lenovo, les modèles cités impactés… mais on n’utilise pas le lecteur d’empreinte, je suis même pas sur qu’il soit présent dans la machine :) (en tous cas le T540p devant moi non)

    Répondre
  • 30 janvier 2018 - 15 h 29 min

    @Cid: Dans mon ancien job, le lecteur d’empreintes a été désactivé et on s’est mis à utiliser des clés token.

    @Pierre, merci pour l’effacement du double post.

    Répondre
  • to
    30 janvier 2018 - 18 h 15 min

    However, the vulnerability can only be exploited by a person with physical access to the machine and cannot be done remotely or online, the company noted.

    food for F.U.D. donc. Mais c’est vrai quand on lit l’article, on voit que ca fait pas serieux le coup du master password en dur dans le driver.

    Répondre
  • 30 janvier 2018 - 18 h 38 min

    Et avec l’intelligence artificielle que les black hats ne vont pas manquer d’utiliser, ça va devenir compliqué pour les gentils…
    Vive le bug bounty du Wild Wild Web !

    Sick Sad World, comme dirait les Simpsons.

    Répondre
  • 30 janvier 2018 - 23 h 19 min

    @brousse.ouillisse: au lieu des Simpsons, n’est-ce pas plutôt l’émission que regardent Daria et Jane ?

    Répondre
  • Cid
    31 janvier 2018 - 10 h 44 min

    @prog-amateur:

    On a des cartes à puce :) Par contre les lecteurs de carte des X2xx sont super fragiles… Mais le reste du parc est plutôt fiable.

    Répondre
  • Tof
    31 janvier 2018 - 15 h 50 min

    @to:
    1. étant donné l’utilisation des Thinkpads principalement en entreprises, l’accès physique à un Thnikpad est très souvent visé par tout le secteur de l’espionnage industriel. Un Thinkpad laissé dans la chambre d’hôtel d’un cadre en déplacement, ou inspecté par un service des douanes pendant qu’ils te fouillent dans une pièce à part, laissé sur une table lors d’une conférence. C’est une mine d’or d’informations.

    2. BadUSB: une petite puce à 1€ programmées (bourrée de scripts) et qui peut se comporter comme un clavier. Donc si insérée dans un gadget USB et alors tu as concrètement un accès physique à la machine! Par exemple une clé USB offertes aux participants d’un salon de cadres de l’industrie du transport, de l’énergie ou de tout secteur stratégique, ou même une simple mini-lampe USB, un ventilo USB, un câble USB… n’importe quoi en USB.
    La règle pour quelqu’un travaillant en entreprise devrait être de jeter tout gadget USB offert, et surtout ne jamais le brancher sur son ordi de travail.

    Répondre
  • LAISSER UN COMMENTAIRE

    *

    *