Alors que le scandale Superfish avec Lenovo et le cas eDellRoot résonnent encore, la société de sécurité Duo Security a voulu savoir ce qu'il en était désormais (PDF). Dans des logiciels préinstallés sur de nouveaux ordinateurs de Acer, Asus, Dell, HP et Lenovo, des chercheurs de Duo Labs sont ainsi partis en quête d'exploits comme avec Superfish. La pêche a été bonne.

Pour chacun de ses fabricants, il a été découvert au moins une vulnérabilité pouvant permettre une attaque de type man-in-the-middle et l'exécution de code arbitraire pour prendre le contrôle complet d'un système. Ces vulnérabilités se logent dans des programmes tiers, et donc des bloatwares, qui de l'avis de Duo Labs ne sont pas suffisamment examinés en termes de sécurité.

En particulier, cela vaut pour des logiciels de mise à jour préinstallés, même si certaines implémentations sont mieux sécurisées que d'autres. Comme plusieurs de ces outils sont parfois présents sur un même ordinateur, l'effort de sécurisation pour un est ruiné par un autre.

Dix ordinateurs* ont été étudiés et tous équipés de Windows 8.1 ou Windows 10. Parmi ceux-ci, des machines étiquetées Microsoft Signature qui sont censées être exemptes de logiciels préinstallés, mais des composants tiers ont tout de même été repérés.

Parmi les griefs de Duo Security, le fait que les fabricants échouent souvent dans la bonne implémentation du protocole TLS pour la sécurisation des échanges sur Internet ou pour la validation de l'intégrité d'une mise à jour. Le niveau de sophistication requis pour exploiter la douzaine de vulnérabilités trouvées est par ailleurs considéré souvent trivial.

Tous les fabricants concernés ont été prévenus des vulnérabilités de sécurité découvertes depuis au moins 90 jours. Dell avait publié un correctif avant l'alerte de Duo Labs. Hewlett-Packard a appliqué des correctifs, tandis que Acer et Asus vont le faire. Lenovo a de son côté tout simplement supprimé un logiciel vulnérable.

* Lenovo Flex 3, HP Envy, HP Stream x360 (Microsoft Signature Edition), HP Stream (UK version), Lenovo G50-80 (UK version), Acer Aspire F15 (UK version), Dell Inspiron 14 (Canada version), Dell Inspiron 15-5548 (Microsoft Signature Edition), Asus TP200S, Asus TP200S (Microsoft Signature Edition).