Des spywares, ou logiciels espions, ont été retrouvés dans des MiniPC AceMagic. La marque a fini par prendre des mesures pour s’en débarrasser et propose une procédure pour régler le soucis.
AceMagic, qui pour rappel n’est qu’une marque de façade pour des engins fabriqués par une autre entité au même titre que AceMagician, Kamrui, NiPoGi, Ouvis, NiPoGi ou encore T-Bao. Cette liste n’étant pas exclusivement fournie par un seul fabricant, elle peut partager d’autres designs avec d’autres usines. Mais c’est AceMagic qui a été pris la main dans le sac avec des MiniPC infestés de deux Spywares et c’est donc AceMagic qui se fend d’un communiqué pour expliquer ce qu’il s’est passé.
La marque indique que les images utilisées pour intégrer le système Windows dans sa chaine de production ont été infectées par la faute d’une volonté d’optimisation. Les personnels de l’équipe de AceMagic ayant téléchargé des éléments pour accélérer le démarrage des engins depuis une source tierce mais sans vérifier la signature logicielle de celle–ci. Cette signature logicielle permettant de vérifier que les divers éléments ne sont pas infectés… L’idée étant de modifier le code source de Windows en changeant des paramètre dans la partie réseau. En parallèle de ce problème, le logiciel de gestion de l’éclairage RGB aurait également été infecté1. L’image du système aurait ensuite été intégrée dans la partition de récupération telle quelle et proposé à la vente ainsi.
J’ai beaucoup de mal avec cette version. Tout simplement parce que la découverte de l’infection s’est faite directement par le système Windows lui même et son logiciel antivirus intégré Microsoft Defender. Ce qui veut dire que les ingénieurs en charge de l’optimisation du système auraient ajouté des modifications dans le code source de l’engin sans jamais démarrer le système pour vérifier leur impact sur ce démarrage. C’est un peu comme si vous changiez de recette au dernier moment mais que jamais vous ne goûtiez le plat avant de servir. Si ils avaient fait, ne serait-ce qu’un démarrage après leurs réglages initiaux, la machine aurait tout simplement signalé la présence des Spywares. Je reste donc persuadé que l’infection a eu lieu ailleurs, probablement en usine comme je le précisais dans le premier billet sur le sujet.
Un remboursement des machines infectées par ces Spywares ?
Pour rattraper le coup, AceMagic annonce rembourser les machines infectées fabriquées entre septembre et novembre dernier. Cela concerne les AD08, AD15 et S1 de la marque. Mais attention, ne rêvez pas trop, cela ne concernera que les MiniPC vendus par AceMagic sur son site et non pas ceux commercialisés ailleurs. Les autres marques proposant des MiniPC identiques sous d’autres noms ne sont pas concernées par ce remboursement. A noter qu’il est bien difficile de savoir quelles machines ont été fabriquées à ces dates puisque rien ne permet de l’authentifier après l’achat. Ni numéro de série ni date de fabrication ne sont précisés sur les engins. Une promesse qui ne coûte donc pas bien cher à la marque.
Autre élément, les propriétaires de machines infectées peuvent prétendre à une remise de 60$ pour leur prochain achat de MiniPC sur le site de la marque. Site où les prix ne sont pas forcément les meilleurs… et où il suffira d’appliquer le code ACEDMFS60 pour en bénéficier. Sans avoir à prouver l’infection de votre machine. Ce qui ressemble bel et bien à un code promo classique et donc à un moyen de transformer un problème en une bonne affaire marketing…
AceMagic propose enfin des mises à jour logicielles pour réinstaller leurs machines « au propre » avec des images système et un guide en vidéo. Tout le principe est de créer une clé USB bootable dont le contenu sera ensuite « injecté » en lieu et place de votre système. A noter que cette vidéo date du tout début janvier 2024 et donc un mois avant la publication de la vidéo qui a déclenché l’affaire. Si la réponse officielle de AceMagic a été longue, la réponse technique a été beaucoup plus rapide.
Vous trouverez trois images disponibles pour trois modèles de MiniPC différents.
- AceMagic S1 sous Windows11 Pro 22H2 : Link
- AceMagic AD08 (12900H) sous Windows11 Pro 22H2 « No browser version » : Link
- AceMagic AK1 Plus RGB Windows 11 Pro : Link
Ces images peuvent ne pas fonctionner sous d’autres versions d’autres marques des même machines, je n’en ai aucune idée. Je n’ai pas vérifié ces images et il s’agit du stockage en ligne de la marque.
Pour ce qui est des logiciels internes infectés comme le gestionnaire RVB, la réponse de la marque est beaucoup plus récente puisqu’elle date du 24 février dernier. Il s’agit de télécharger une version « propre » du logiciel à cette adresse : https://www.acemagic.com/pages/drivers-downloads et de suivre le guide ci dessus.
Vous y trouverez les images des systèmes mais aussi les liens vers le logiciel de gestion de l’écran du modèle S1 et du logiciel de contrôle RVB des AMR5/AD08/AM08 ainsi que l’ensemble des pilotes des produits de la marque. Si vous décidez d’installer un de ces pilotes sur une machine différente, et que ça fonctionne ou non, vous pouvez laisser l’info en commentaires pour les autres.
Dans tous les cas je vous invite à relire le précédent papier sur le sujet pour savoir exactement ce qu’il en est et la meilleure façon de se comporter avec un engin de ce type.
Notes :
2,5€ par mois | 5€ par mois | 10€ par mois | Le montant de votre choix |
à fuire acemagic, ce n’est pas sérieux ou bien c’est volontaire ?
Si les virus n’étaient pas des perdreaux du mois, avec une MAJ des signatures Defender qui pouvait passer entre les optimisations et la mise en prod, l’explication serait en effet difficile à croire.
Maintenant, ils parlent de la mise en place sur une partition de récupération. Ce qui voudrait dire que c’est elle qui sera installée à la première mise en route chez l’utilisateur et qu’en usine le démarrage/test ne l’utiliserait alors pas (PXE?).
Dans tous les cas c’est pas très flatteur de n’avoir même pas essayé le cycle complet production/test/démarrage-installation « utilisateur » ne serait-ce que sur une seule machine!
Encore heureux, à procéder ainsi, que cela « tombe en marche » chez les clients…
@yann: Qui va faire une optimisation système, l’inclure dans son image de production, l’envoyer à l’usine pour son déploiement sans jamais la valider auparavant par un simple boot ? Ca n’existe pas. L’explication ne tiens pas la route 5 minutes. Je pense vraiment à une compromission volontaire effectuée par un tiers.
Bonjour,
pour ma part j’avais acheté un ARM5 de AceMagic qui était infecté.
J’ai essayé la solution de Pierre, cela a fonctionné et le lendemain à nouveau des problèmes.
Au final le MiniPC tournait en rond à l’installation, donc j’ai envoyé un mail à AceMagic pour être remboursé.
Ayant acheté le MiniPC sur Amazon, ils m’ont dit: si vous n’en voulez plus, renvoyez le comme vous l’avez reçu.
L’intérêt bien entendu de toujours garder les boîtes…
J’ai envoyé un mail à Amazon, vu que la période de retour était dépassée.
J’ai eu finalement par chat, un membre de l’équipe d’Amazon, qui m’a demandé la raison pour laquelle je renvoyais le PC vu que j’avais eu auparavant l’accord de AceMagic.
Une étiquette de retour de la part d’Amazon m’a été envoyée.
Hier j’ai reçu la confirmation du remboursement par Amazon dans les trois à cinq jours ouvrables.
Que penser de tout cela?
Quelques jours de perdus, quelques documents aussi et retour à mon ancien Dell qui date un peu.
Côté prix et performances, il n’y avait rien à redire mais cette affaire fait que je ne pense pas voir plus acheter un MiniPC de cette marque.
Comme expliqué par Pierre, il y a d’autres marques qui font le même modèle mais pour le moment je préfère attendre car j’ai du changer tous mes mots de passe ect.
De ce côté d’ailleurs je retourne à ma façon d’avant, mon carnet et plus rien en ligne…
J’avais un collègue qui lui aussi avait acheté un autre modèle de chez AceMagic, Windows ne l’intéressait pas du tout. Il a installé Linux dessus et jusqu’à aujourd’hui : aucun problème.
@Pierre Lecourt:
Les marques n’ont parfois pas les machines à disposition. Le fait qu’ils envoient des masters approximatifs au fabricant ne m’étonnerait qu’à moitié.
Comme on dit il faut toujours préféré l’hypothèse de l’incompétence à celle du complot ^^
Cela dit, ici ils endossent la responsabilité en disant que c’est de leur faute, blabla, leur gamme de machines infectés etc… mais on sait que c’est toutes les machines du fabricants qui l’ont été, et donc toutes les marques tierces utilisatrices.
@wanou: Non mais là on parle de machines a 300€ dispo en masse, pas de prototypes de la NASA.
@TiTi: Quelles autres machines ? Parce que les images système ne sont pas les mêmes d’une marque à l’autre.
@Pierre Lecourt: C’est le sous-traitant/fabricant qui a merdé, non? Pas les marques passant commande chez lui.
Vous-même vous avez citez dans votre article « AceMagician, Kamrui, NiPoGi, Ouvis, NiPoGi ou encore T-Bao ». Ils sont tous impacté, non?
@TiTi: Chaque « marque » fabrique son ISO ave ses programmes à partir des éléments fournis par l’usine de base (liste des pilotes, sample de machine). Ils collent leur logos, peuvent faire leur petite sauce de Bloatwares éventuels et autres fond d’écran. Certains vont faire un truc générique, d’autre tweaker un peu les éléments. Mais aucun PC AceMagic n’aura un logo Nipogi et pour cause, sur l’injection du système en série sur les SSD ce ne sera pas le même ISO. A ce jour aucun MiniPC Ouvis, T-Bao, NiPogi ou Kamrui n’a été infecté à ma connaissance. Seul AceMagic a été confronté au soucis.
Mon paragraphe est assez précis : « Pour comprendre comment cela est possible, comment des MiniPC peuvent être infectés ainsi, il faut comprendre comment ce marché fonctionne. Je vous le répète souvent mais les machines livrées en provenance de marques noname sont issues de fournisseurs uniques. Avec des designs identiques, des équipements copiés collés d’une marque à l’autre, il n’est pas difficile de deviner que les constructeurs de certains MiniPC sont les mêmes. Ici il s’agit d’un gros poisson : « Shenzhen Shanminheng Technology Co., Ltd. » qui fabrique – entre autres – pour les marques AceMagic, AceMagician, Kamrui, NiPoGi, Ouvis, NiPoGi, T-Bao et bien d’autres marques que je qualifie souvent de « Noname » . » Cela ne veut pas dire que AceMAgic n’est pas concurrent de NiPogi ou Kamrui ou T-Bao, au contraire.
Apres mes conseils sont « génériques » parce que ce genre de mésaventure peut arriver avec d’autres marques mais à ce jour, seul AceMAgic semble être concerné. Je n’ai lu nulle part de plainte pour d’autres marques.
Ok, ça change tout. Seul la marque AceMagic est donc concerné. Je pensais toutes les machines produites par Shenzhen Shanminheng Technology Co. durant quelques semaines.
Du coup je rejoins l’avis de Wanou. Certaines marques ne sont juste de des grossistes un peu plus avancés, qui achètes et revendent des machines sur catalogues, sans même passer entre leur mains. Ils n’ont sans doute aucun personnel technique dans leur bureau. Et Shenzhen Shanminheng Technology doivent probablement leur vendre en option des images personnalisé avec leur logo, sans qu’ils n’aient à faire quoique ce soit.
Mais certains peuvent se sentir plus malins que d’autres, et avoir eu la bonne idée de télécharger des trucs qui leur semblaient sympas, en faisant confiance à la source, mais sans faire de test plus poussés derrière. Ou peut-être ont-ils testé le proto de base, puis ont « pousser » une dernière petite « optimisation » à la va vite, à la toute dernière minute.
Je ne sais pas si c’est le cas de cette affaire, mais c’est un scénario que je peux parfaitement imaginé.
Et puis après tout, puisque c’est ce qu’ils ont l’honnêteté de reconnaître, pourquoi les remettre en doute?
@TiTi: Ben, c’est ce que j’écris dans le précédent billet : « Ces différentes marques font appel à ce constructeur pour fabriquer leurs machines de A à Z. Elles ne sont en rien responsables de la fabrication du produit et se contentent souvent de n’envoyer qu’un logo à l’usine en charge du marquage des différents éléments. Logo qui sera collé sur la machine, ajouté à l’étiquette, imprimé sur la « documentation » et éventuellement sur le carton du MiniPC. Parfois ce logo sera poussé sur la carte mère pour apparaitre au démarrage de l’engin mais ce n’est pas forcément le cas. »
Par contre je ne crois absolument pas à l’idée d’une optimisation « à l’arrache » sans même un boot ensuite avant mise en production. Ce type d’optimisation, peut totalement te faire planter la bécane. Ecran noir, boucle infinie ou absence de prise en charge d’un pilote une fois booté. C’est assez tendu a mettre en place. Imagine que ton optimisation foute en l’air toute l’installation et que Windows tourne en boucle, cela équivaudrait a livrer des milliers de PC à travers le monde qui génèreraient 100% de SAV. Je veux bien qu’on imagine des scénarios tordus mais de là à imaginer des gens qui seraient capables de lancer plusieurs gamme de PC qui les mèneraient droit à la case chômage pour économiser les 2 minutes de vérification d’un boot. C’est difficile.
Cela peut être une erreur technique liée à une infection mais c’est dur de croire que le spyware n’ait pas pu être détecté par Microsoft Defender sur le poste de travail de celui qui met en place le système. D’autant que ces postes sont prévus pour être « propres ».
Pourquoi les remettre en doute ? Parce que ça ne tient pas debout. Et parce que le scénario d’un virus injecté chez le prestataire laisserait planer le doute sur TOUTE la production de ces MiniPC. D’un point de vue image ce n’est pas génial. Alors autant trouver un bouc qui ne sent pas bon et qui endosse toute la responsabilité.
Encore une fois, si il s’agissait d’une vraie tentative de Spyware de la part de AceMagic, ils auraient choisi des outils qui n’auraient pas été détectés par Microsoft Defender ou tweaké Microsoft Defender lui même pour qu’il accepte ces spyware sans donner l’alerte. Ce serait bien plus efficace que de mettre un virus auto-détécté au premier démarrage.
Là tu as l’impression d’avoir un serveur de restaurant qui cherche a te vendre le plat du jour avec un T-Shirt : « Attention le plat du jour est dégueulasse? »
J’ai acheté il y a pas longtemps un ACEMAGIC S1 basé sur un intel N97.
Heureusement, j’ai pour habitude de ne pas faire confiance aux OS et logiciels préinstallés (surtout ceux venant de Chine) et en occurrence c’était du W11 préinstallé.
Je voulais que cette Mini Machine soit sous Windows 10 Pro. J’ai donc, d’office, installé une de mes licences W10 Pro disponibles après échange et formatage du SSD. Quelque temps après j’ai découvert ce scandale. Je sais que j’ai échappé à une catastrophe.
@CHP: Même pas. Si tu achètes un PC qui te dit dès le premier démarrage « attention Virus », il n’y a pas de catastrophe. Au pire tu le remet dans la boite et tu le renvoies. :D
@Pierre Lecourt:
Le suis d’accord mais à l’époque je ne le savais pas… et les anti-virus ont eux-même leur failles (volontaires ou pas).
Cette histoire me fait penser a Lenovo et ses certificats SSL/TLS installées par défaut dans Windows afin de sniffer les communications HTTPS de l’utilisateur.
Personnellement, je ne me fie a aucune marque constructeur, et des que j’ai un PC entre les mains, je refais une installation propre avec une ISO officiel.
@Pierre Lecourt: ya t’il un virus sur le acemagic am18 ?
@Pierre Lecourt: ya t’il un risque avec le mini pc gamer acemagic am18