Lenovo : Un énième rootkit camouflé dans les PC neufs

8
536

Le fabricant chinois Lenovo aurait récidivé une énième fois en camouflant un malware très profondément dans certains de ses PC. Il s’agirait cette fois d’un rootkit.

Il y a deux ans, la firme chinoise Lenovo a été banni de la fourniture d’équipements pour les réseaux des services de renseignement et de défense de différents pays suite aux divers préoccupations liées au piratage et à l’espionnage. Plus tôt cette année, Lenovo a été pris en flagrant délit de vente d’ordinateurs portables neufs, pré-installés avec le logiciel malveillant Superfish.

Et visiblement, ça n’a pas suffit a calmer ses ardeurs, puisque Lenovo vient de nouveau d’être pris la main dans le sac à piéger certains de ses PC de bureau et portables, via une fonctionnalité cachée de Windows visant à pré-installer des logiciels indésirables et inamovibles de type rootkit.

La fonction est connue sous l’appellation “Lenovo Service Engine (LSE)” et représente un fragment de code machine présent dans le firmware de la carte mère de l’ordinateur. Si Windows est installé, le LSE télécharge et installe automatiquement et silencieusement un logiciel Lenovo au cours du démarrage, avant même que le système d’exploitation de Microsoft ne soit lancé, capable alors d’écraser des fichiers du système d’exploitation Windows.

Plus inquiétant encore, sa caractéristique principale est qu’il injecte un logiciel qui met à jour les pilotes, le micrologiciel et d’autres applications pré-installées sur la machine Windows, même si le système est nettoyé. Donc, même si vous désinstallez ou supprimez des logiciels propres à Lenovo, le LSE caché dans le firmware ira automatiquement les reprendre et réinstaller dès que la machine sera redémarrée.

Bien entendu, les utilisateurs critiquent allègrement Lenovo sur pas mal de forums pour cette initiative et soupçonnent que le fabricant d’ordinateurs chinois a installé un “bootkit” qui survit à une réinstallation complète du système. Le soucis a été découvert et signalé par les utilisateurs en mai lors de l’utilisation de nouveaux ordinateurs portables Lenovo, mais a été largement rapporté mardi.

Dans le cas des ordinateurs de bureau, l’explication officielle de Lenovo affirme que le logiciel ne peut pas envoyer des informations d’identification personnelle, mais qu’il envoie quelques informations de base, y compris le modèle de système, la date, la région et l’ID du système, à un serveur Lenovo. En outre, la société affirme que ce processus ne se fait qu’une seule fois, lors de la première connexion à Internet de la machine.

Toutefois, dans le cas des ordinateurs portables, le logiciel fait un peu plus que ça. LSE installe un logiciel appelé OneKey Optimizer (OKO) qui regroupe de nombreux ordinateurs portables Lenovo. Selon la compagnie, le logiciel OKO est utilisée pour améliorer les performances de l’ordinateur en “mettant à jour le micrologiciel, les pilotes et les applications pré-installées“, ainsi que “le listage des fichiers indésirables et la détection des facteurs qui influent sur les performances du système.” OneKey Optimizer tombe dans la catégorie des “crapware”…

En cours du mois d’avril, le chercheur en sécurité Roel Schouwenberg a rapporté certains problèmes de sécurité, y compris des dépassements de tampon et des connexions réseau non sécurisées à Lenovo et Microsoft. Cela a forcé Lenovo a arrêter LSE notamment sur ses nouveaux systèmes, distribués depuis juin. La société a également fourni des mises à jour de firmware pour les ordinateurs portables vulnérables et les instructions pour désactiver l’option sur les machines touchées et nettoyer les fichiers lié à LSE.

Parmi d’autres, de nombreuses machines Flex et Yoga exécutant un système d’exploitation y compris Windows 7, Windows 8 et Windows 8.1 sont affectés par ce problème. Vous pouvez voir la liste complète des ordinateurs portables et ordinateurs de bureau touchés sur le site Web de Lenovo. Lenovo a depuis publié une déclaration officielle, qui note que les systèmes fabriqués à partir de juin disposent d’un firmware BIOS qui élimine la menace, et qu’il n’y a plus d’installation de Lenovo Service Engine sur PC actuellement.

Plutôt bien mais qui peut faire encore confiance à Lenovo pour les futurs machines ? Ont imagine bien que dans quelques mois, ce genre d’intrusion va revenir…

Comment supprimer Lenovo Service Engine (Rootkit)

Afin d’éliminer LSE des machines touchées, suivez ces étapes :

  • Identifier le type de votre système (version 32-bit ou 64-bit de Windows)
  • Accédez à l’Avis de sécurité Lenovo, et sélectionnez le lien spécifique à votre machine Lenovo
  • Cliquez sur le bouton “Date” pour la mise à jour la plus récente
  • Chercher “Lenovo LSE de Windows Disabler Tool” et cliquez sur l’icône de téléchargement à côté de la version qui correspond à votre version de Windows
  • Exécutez le programme une fois téléchargé. Il va supprimer complètement le logiciel LSE.

Les commentaires sont fermés.