Lenovo : une faille de sécurité liée au lecteur d’empreinte du clavier

Lenovo a révélé une faille de sécurité liée au système de reconnaissance d’empreintes digitales de certains modèles de la marque. Un correctif a déjà été mis en place.

Découverte par un chercheur en sécurité de l’entreprise Security Compass, la faille en question infecte plusieurs modèles de la firme. Les ordinateurs portables ThinkPad mais aussi les ThinkCentre et ThinkStation exploitant Windows 7, 8 et 8.1 sont vulnérables à ce problème. Si 2015 avait été compliqué pour la firme en ce qui concerne la sécurité informatique ou certains logiciels trop facilement installés, la firme reprend la série noire pour le début de l’année 2018.

Le problème se situe au niveau du Lenovo Fingerprint Manager Pro, un système permettant de s’identifier avec ses empreintes de la même façon que le TouchID de l’iPhone par exemple. Non seulement les utilisateurs peuvent s’identifier avec le lecteur, mais ils ont aussi la possibilité de s’identifier sur certains site web. Lenovo explique : « Les données sensibles stockées par Lenovo Fingerprint Manager Pro, y compris les identifiants de connexion Windows et les données d’empreintes digitales des utilisateurs, sont chiffrées à l’aide d’un algorithme faible, avec un mot de passe codé en dur, et sont accessibles à tous les utilisateurs avec un accès local non administrateur ». Plus concrètement, cela signifie qu’un utilisateur malveillant pourrait contourner le système de base et profiter d’un mot de passe codé en dur. De cette même façon, les identifiants de connexion et les données d’empreintes sont exposés.

Sur son site web, Lenovo a publié la liste des modèles concernés, à l’exemple du ThinkPad L560, ou de quelques modèles ThinkCentre et ThinkStation. Néanmoins, la firme chinoise a su réagir puisqu’elle propose déjà une solution à la faille de sécurité. Pour corriger le problème, il suffit d’installer la version 8.01.87 de Fingerprint Manager Pro, qui n’est pas sujet à ce problème.

Source : Engadget