« Toute une série d'ordinateur portables et de PC de bureau Lenovo (voir la liste ici) étaient fournis jusqu'à juin dernier avec un BIOS, le Lenovo Service Engine (LSE), qui vérifiait à chaque reboot le contenu du fichier C:Windowssystem32autochk.exe utilisé par Microsoft pour diagnostiquer d'éventuelles corruptions du système au démarrage de Windows. LSE remplace ce fichier par une variante qui vérifie également la présence de deux fichiers exécutables, LenovoUpdate.exe et LenovoCheck.exe, ou les ajoute en cas d'absence.
Ces deux fichiers qui s'exécutent au lancement de Windows bénéficient des droits d'administrateur, et peuvent donc télécharger et installer ce qu'ils veulent sans aucun contrôle. Lenovo télécharge ainsi des drivers, ou installe son logiciel OneKey Optimizer (.pdf) censé optimiser les performances du PC grâce à différents diagnostics et réglages automatisés. Impossible pour le propriétaire d'un tel système d'éviter leur installation, sauf à renoncer à Windows.
[...]
Pour imposer ses logiciels, Lenovo exploitait une faculté offerte aux constructeurs d'indiquer lors du boot une zone mémoire physique sur laquelle figurent des binaires à exécuter lors du lancement de Windows. C'est le Windows Platform Binary Table (.docx), conçu par Microsoft pour permettre aux constructeurs d'y mettre les drivers indispensables au bon fonctionnement du PC, ou pour installer des logiciels permettant de détecter la connexion d'un ordinateur volé, ce qu'un voleur ne doit évidemment pas pouvoir désinstaller. Le WPBT n'était absolument pas conçu pour que les industriels imposent leurs logiciels maison à chaque réinstallation ou lancement de Windows, ce que Microsoft a clarifié en modifiant ses lignes de conduite de sécurité. »
Putain mais c'est *grave* de contourner les utilisateurs comme ça. :O Ces pratiques sont abjectes, ignobles, totalement merdiques et pourries. C'est à gerber. Un exemple de plus en faveur des logiciels libres...
Thu Aug 13 13:29:33 2015 - permalink -
-
http://www.numerama.com/magazine/33922-comment-lenovo-imposait-dans-le-bios-un-logiciel-avec-une-faille-de-securite.html