Discussion :

[Michael Guilloux]

Lenovo installe secrètement un logiciel persistant sur ses PC
Le programme peut être exploité par les pirates

Lenovo récidive dans l’installation de programmes vulnérables sur les PC des utilisateurs. Après le scandale autour de l’adware Superfish, le fabricant chinois a cette fois-ci été victime d’une de ses stratégies pour maintenir à jour les PC de ses utilisateurs.

Une chose dont le commun des mortels n’en avait aucune idée jusqu’à ce jour est que la société avait installé un programme sur le système BIOS de ses PC. Le programme connu sous le nom de Lenovo Services Engine (LSE) est exécuté avant le lancement de Windows et permet de remplacer des fichiers systèmes de Windows par les propres fichiers .exe de Lenovo. Ces fichiers exécutés avec un accès administrateur vont ensuite télécharger les pilotes et autres logiciels du fabricant une fois que la machine de l’utilisateur est connectée à Internet.

Ce processus est autorisé par Microsoft et exploite la fonctionnalité Windows Platform Binary Table (WPBT) de la firme de Redmond. Cette fonctionnalité permet aux constructeurs d’installer des pilotes, des programmes et d'autres fichiers dans Windows à partir du firmware de la carte mère.

Le programme LSE permet également d’envoyer des informations relatives au système d’exploitation de l’utilisateur aux serveurs de Lenovo, mais selon le fabricant chinois, il s’agit seulement de données non personnellement identifiables.

Tout se passait donc plus ou moins bien jusqu’en Mai dernier, où un chercheur en sécurité du nom de Roel Schouwenberg a signalé à la société une faille de sécurité dans le programme installé sur le BIOS de ses PC. Avec ce chercheur, Lenovo et Microsoft ont découvert des façons possibles pour un attaquant d’exploiter la faille, y compris une attaque par débordement de tampon et une tentative de connexion à un serveur de Lenovo.

Il n’y a aucune possibilité de se débarrasser de LSE. Même après avoir nettoyé votre disque dur ou réinstallé votre système. Le problème refait surface une fois que le PC redémarre.

Lenovo a travaillé avec le chercheur pour développer un nouveau firmware qui a été publié le 31 juillet, mais les utilisateurs auront encore besoin de l’installer manuellement. Le nouveau firmware a été installé sur les PC Lenovo expédiés à partir de Juin.

De nombreux PC Lenovo sont affectés et la société en a publié une liste sur son site. Elle précise toutefois que les ordinateurs de la gamme Think ne sont pas affectés puisqu’ils n’ont pas été expédiés avec LSE.

Source : Lenovo

Et vous ?

Qu’en pensez-vous ?

[RyzenOC]

Ce processus est autorisé par Microsoft et exploite la fonctionnalité Windows Platform Binary Table (WPBT) de la firme de Redmond. Cette fonctionnalité permet aux constructeurs d’installer des pilotes, des programmes et d'autres fichiers dans Windows à partir du firmware de la carte mère.

Je comprend pas comment on peut envisager 1 seconde de concevoir un tels mécanisme.

Pour installer un pilote/programme y'a Windows Update, pas besoin de crée une sur-couche dans le bios.

[eliniel]

Il n’y a aucune possibilité de se débarrasser de LSE. Même après avoir nettoyé votre disque dur ou réinstallé votre système.

C'est une blague ?!?

[shadowmoon]

Il n’y a aucune possibilité de se débarrasser de LSE. Même après avoir nettoyé votre disque dur ou réinstallé votre système.

C'est une blague ?!?

En fait pour enlever LSE d'un ordinateur, il faut essayer de "flasher" le bios et / ou d'installer un autre firmware pour la carte mère

[solstyce39]

C'est une blague ?!?

ça parait logique le bios est dans une couche plus basse que l'os, donc réparer l'os ne suffit pas

[Max Lothaire]

Ils continuent avec leurs conneries ?
Il me semble que ce n'est pas la première affaire de ce genre avec ce constructeur ...

[Julien698]

Sympa, ils nous tracent selon les actions qu'on fait sur le Pc....

[ticNFA]

Lenovo, champion du monde !

Ils avaient juré qu'on ne les y prendrait plus. Il ne s'agit certes pas d'un adware mais c'est encore une saloperie. Les fabricants peuvent faire ce qu'ils veulent... et ils le font bien évidemment.

[Squisqui]

En fait pour enlever LSE d'un ordinateur, il faut essayer de "flasher" le bios et / ou d'installer un autre firmware pour la carte mère

Là où c'est gênant, c'est de devoir déployer un firmware qui n'est pas fourni par Lenovo.
Je me demande si il y a un membre sur ce forum qui a déployé des choses comme OpenBIOS ou coreboot.

[shadowmoon]

Là où c'est gênant, c'est de devoir déployer un firmware qui n'est pas fourni par Lenovo.

Si je me souviens bien, le premier message mentionne le fait que Lenevo distribue un nouveau firmware à installer manuellement

[Kropernic]

Si je me souviens bien, le premier message mentionne le fait que Lenevo distribue un nouveau firmware à installer manuellement

Oui mais c'est juste un firmware où la faille est corrigée. Y a toujours LSE dessus ^^

[Paul_Le_Heros]

Mais, si j'ai tout compris, les gens qui roulent Linux ne sont pas victimes de cette cochonnerie?

[RyzenOC]

Mais, si j'ai tout compris, les gens qui roulent Linux ne sont pas victimes de cette cochonnerie?

Puisque le problème se situe au niveau du bios, on pourrais imaginer que Lenovo rendre LSE compatible Linux. Même si c'est peu probable.

[MClerc]

"Il n’y a aucune possibilité de se débarrasser de LSE. Même après avoir nettoyé votre disque dur ou réinstallé votre système."
J'ai acheté récemment un Lenovo, tout formaté et installé un Linux (Ubuntu), qui ne sait pas exécuter les .exe. Je ne vois alors pas bien comment ce "logiciel persistant" peut fonctionner. Une explication, SVP.

[RyzenOC]

"Il n’y a aucune possibilité de se débarrasser de LSE. Même après avoir nettoyé votre disque dur ou réinstallé votre système."
J'ai acheté récemment un Lenovo, tout formaté et installé un Linux (Ubuntu), qui ne sait pas exécuter les .exe. Je ne vois alors pas bien comment ce "logiciel persistant" peut fonctionner. Une explication, SVP.

Il installe un .deb

Théoriquement, si Lenovo veut que son programme marche sous Ubuntu elle peut (avec de la volonté on peut tous faire), mais vu les part de marché de Linux on est tranquille pour longtemps. Lenovo n'a aucun intérêt d'adapter son programme pour Linux, pourquoi faire ?

[Zhebulon]

Bonjour,

Toutes vos remarques sont intéressantes et constructives, mais au final y t'il une moyen de faire sauter ce LSE. Faire une MAJ du firmware de la CM dites-vous, quel est donc le fichier qu'il faudrait appliquer SVP ?
En vous remerciant par avance,