Des millions d’ordinateurs portables Lenovo pourraient être exposés à des attaques de logiciels malveillants rares mais graves

Des millions d’ordinateurs portables et de bureau fabriqués par Dell, HP, Lenovo et d’autres sociétés sont vulnérables aux attaques, grâce à des micrologiciels non sécurisés utilisés par les webcams, les trackpads, les ports USB, les cartes Wi-Fi et d’autres périphériques de fournisseurs tiers qui sont intégrés aux PC.

C’est ce qui ressort d’un rapport publié par la société de sécurité, Eclypsium, qui indique que les périphériques sont souvent des cibles faciles pour les logiciels malveillants qui peuvent modifier leur micrologiciel et créer une porte dérobée au cœur des ordinateurs.

Malheureusement, bon nombre de ces problèmes de micrologiciels ne peuvent être résolus par des mises à jour. Et les fabricants d’ordinateurs, de périphériques et de systèmes d’exploitation se renvoient souvent la balle pour savoir qui doit s’occuper de ce problème, laissant les utilisateurs d’ordinateurs seuls face au problème. Si vous utilisez une machine vulnérable, il y a de fortes chances que ce soit le cas, le plus sûr est d’installer et d’exécuter certains des meilleurs logiciels antivirus pour essayer de détecter tout logiciel malveillant qui pourrait tenter de modifier le micrologiciel du périphérique. Assurez-vous que le logiciel antivirus analyse les clés USB dès qu’elles sont branchées.

Les ordinateurs sont définitivement à risque

Les modèles qui se sont avérés être vulnérables à ces failles du micrologiciel périphérique incluent :

• L’ordinateur portable Lenovo ThinkPad X1 Carbon (6e génération) qui utilise un trackpad vulnérable fabriqué par Synaptics qui ne vérifie pas ses propres mises à jour de firmware.
• L’ordinateur portable convertible HP Spectre x360 13-ap0xxx, dont la webcam est fabriquée par SunplusIT, ne vérifie pas non plus ses mises à jour de firmware et peut être piraté par des clés USB malveillantes.
• L’ordinateur portable Dell XPS 15 9560, dont la carte Wi-Fi, fabriquée par Rivet Networks et fournie par Qualcomm, accepte des mises à jour de firmware non vérifiées, même si Windows 10 se donne la peine de vérifier les mises à jour avant leur chargement.

Ce que vous pouvez et ne pouvez pas faire pour vous protéger :

Lenovo a déclaré à Eclypsium qu’elle n’avait aucun moyen de résoudre le problème du pavé tactile sur ses ordinateurs portables actuels. Vous devrez donc vivre avec des trackpads vulnérables. HP a créé un correctif pour la vulnérabilité de sa webcam, que vous pouvez télécharger sur son site Web d’assistance.

En ce qui concerne le chipset Wi-Fi de Dell, Eclypsium a averti à la fois Microsoft et Qualcomm, qui ont rapidement essayé de se renvoyer la balle.

Malheureusement, les problèmes posés par les micrologiciels non signés ne sont pas faciles à résoudre. Si le composant n’a pas été conçu pour vérifier un micrologiciel signé, il n’est souvent pas possible de le réparer avec une mise à jour du micrologiciel. Dans de nombreux cas, le problème sous-jacent d’un appareil ou d’une gamme de produits ne peut pas être corrigé du tout, ce qui signifie que tous les appareils de cette gamme de produits resteront vulnérables tout au long de leur vie. Pour protéger votre confidentialité en ligne, il vous reste la solution du VPN pour Windows, qui vous permettra de redoubler votre sécurité lorsque vous surfez sur votre portable Lenovo. La plupart propose des fonctionnalités supplémentaires avancées qui vous permettront même de vous protéger contre certains logiciels malveillants.

La pointe de l’iceberg ?

Bien sûr, il ne s’agit là que des modèles spécifiques qu’Eclypsium a examinés. Des dizaines, voire des centaines d’autres appareils utilisent au moins un de ces composants. Par exemple, les ordinateurs portables actuels Dell XPS 13 utilisent également ces cartes Wi-Fi.

« Pratiquement chaque composant à l’intérieur d’un appareil possède son propre micrologiciel et son propre potentiel de risque, y compris les adaptateurs de réseau, les cartes graphiques, les dispositifs USB, les caméras, les écrans et les pavés tactiles, et plus encore », ajoute Eclypsium dans son rapport. « Les périphériques sont souvent dépourvus des mêmes bonnes pratiques de sécurité que nous considérons comme acquises dans les systèmes d’exploitation et d’autres composants plus visibles, tels que l’UEFI ou le BIOS. »

Les Macs sont immunisés

Notez que le rapport d’Eclypsium ne mentionne pas les Macs. En effet, selon le rapport, « Apple vérifie la signature de tous les fichiers d’un paquet de pilotes, y compris le micrologiciel, chaque fois qu’ils sont chargés sur l’appareil, afin d’atténuer ce type d’attaque. En revanche Windows et Linux n’effectuent ce type de vérification que lors de l’installation initiale du paquet ».

Il existe une explication simple à cette faille de sécurité : Apple fabrique à la fois son matériel et ses logiciels et a tout intérêt à ce qu’ils se complètent parfaitement. Mais Microsoft ne fabrique que quelques appareils fonctionnant sous Windows, et les codeurs et distributeurs de Linux ne fabriquent généralement aucun matériel. Les deux systèmes d’exploitation doivent fonctionner sur des milliers de configurations matérielles différentes et on ne peut pas s’attendre à ce qu’ils sécurisent les micrologiciels sur autant de périphériques potentiels.

A lire aussi

Comment identifier les logiciels de sécurité malveillants ? Comment empêcher une webcam d’être piratée ? Comment sécuriser votre appareil iOS contre les logiciels espions ? Cybercriminalité : un fléau aggravé par la généralisation du télétravail