Les logiciels préinstallés sur PC: des failles de sécurité
L’année dernière a exposé des failles importantes dans les logiciels préinstallés sur les machines des constructeurs Dell et Lenovo. Pour Lenovo particulièrement, avec le scandale Superfish, cela a soulevé de vives critiques jusqu’à ce que des solutions soient apportées. On espérait donc, après ces incidents, que tous les constructeurs renforcent la sécurité des logiciels préinstallés sur leurs machines, mais pas grand-chose ne semble avoir été fait par ces derniers, selon une étude menée par la firme de sécurité Duo Security.
L’étude a porté sur des machines des cinq premiers constructeurs : Lenovo, Dell, HP ainsi qu’Acer et Asus. Il s’agissait de les analyser afin de déterminer lesquelles étaient vulnérables. Et d’après les résultats de l’étude, toutes les machines étaient livrées avec des logiciels présentant au moins une faille de sécurité.
Le rapport a mis l’accent sur les utilitaires de mises à jour tiers installés par défaut par les constructeurs. Leurs interfaces de programmation fréquemment exposées permettent facilement le reverse engineering. Pire encore, ils permettent aux cybercriminels d’injecter du code et d’installer des malwares via le processus de mise à jour, bénéficiant du fait que les connexions entrantes et sortantes de ces utilitaires sont dépourvues de chiffrement TLS, ce qui permet à l’attaquant de surveiller tout le trafic.
Les utilitaires de mises à jour ont pour principale tâche d’installer les nouvelles versions de logiciels qui viennent préinstallés sur les machines. Ils sont séparés de Windows Update, l’outil de Windows pour les mises à jour qui est beaucoup plus réputé pour sa sécurité. Du fait des menaces encourues par les utilisateurs, les chercheurs préconisent de réinstaller carrément le système d’exploitation.
Au passage, il est bon de noter que Lenovo conseille désormais à ses clients de désinstaller l’application Lenovo Accelerator, qui est préinstallée sur beaucoup de ses machines tournant sous Windows 10. En effet, l’application connait de nombreuses lacunes, elle n’utilise aucun chiffrement lorsqu’elle recherche ou installe de nouvelles mises à jour et n’arrive pas à vérifier la validité des certificats de sécurité numérique avant de les installer¨.
L’année dernière a exposé des failles importantes dans les logiciels préinstallés sur les machines des constructeurs Dell et Lenovo. Pour Lenovo particulièrement, avec le scandale Superfish, cela a soulevé de vives critiques jusqu’à ce que des solutions soient apportées. On espérait donc, après ces incidents, que tous les constructeurs renforcent la sécurité des logiciels préinstallés sur leurs machines, mais pas grand-chose ne semble avoir été fait par ces derniers, selon une étude menée par la firme de sécurité Duo Security.