Des millions de PC livrés avec des bloatwares vulnérables

Le par  |  122 commentaire(s)
Facepalm

Préinstallés avec des ordinateurs de Acer, Asus, Dell, HP et Lenovo, des logiciels préinstallent également des vulnérabilités de sécurité.

Alors que le scandale Superfish avec Lenovo et le cas eDellRoot résonnent encore, la société de sécurité Duo Security a voulu savoir ce qu'il en était désormais (PDF). Dans des logiciels préinstallés sur de nouveaux ordinateurs de Acer, Asus, Dell, HP et Lenovo, des chercheurs de Duo Labs sont ainsi partis en quête d'exploits comme avec Superfish. La pêche a été bonne.

malwarePour chacun de ses fabricants, il a été découvert au moins une vulnérabilité pouvant permettre une attaque de type man-in-the-middle et l'exécution de code arbitraire pour prendre le contrôle complet d'un système. Ces vulnérabilités se logent dans des programmes tiers, et donc des bloatwares, qui de l'avis de Duo Labs ne sont pas suffisamment examinés en termes de sécurité.

En particulier, cela vaut pour des logiciels de mise à jour préinstallés, même si certaines implémentations sont mieux sécurisées que d'autres. Comme plusieurs de ces outils sont parfois présents sur un même ordinateur, l'effort de sécurisation pour un est ruiné par un autre.

Dix ordinateurs* ont été étudiés et tous équipés de Windows 8.1 ou Windows 10. Parmi ceux-ci, des machines étiquetées Microsoft Signature qui sont censées être exemptes de logiciels préinstallés, mais des composants tiers ont tout de même été repérés.

Parmi les griefs de Duo Security, le fait que les fabricants échouent souvent dans la bonne implémentation du protocole TLS pour la sécurisation des échanges sur Internet ou pour la validation de l'intégrité d'une mise à jour. Le niveau de sophistication requis pour exploiter la douzaine de vulnérabilités trouvées est par ailleurs considéré souvent trivial.

Tous les fabricants concernés ont été prévenus des vulnérabilités de sécurité découvertes depuis au moins 90 jours. Dell avait publié un correctif avant l'alerte de Duo Labs. Hewlett-Packard a appliqué des correctifs, tandis que Acer et Asus vont le faire. Lenovo a de son côté tout simplement supprimé un logiciel vulnérable.

* Lenovo Flex 3, HP Envy, HP Stream x360 (Microsoft Signature Edition), HP Stream (UK version), Lenovo G50-80 (UK version), Acer Aspire F15 (UK version), Dell Inspiron 14 (Canada version), Dell Inspiron 15-5548 (Microsoft Signature Edition), Asus TP200S, Asus TP200S (Microsoft Signature Edition).

Complément d'information

Vos commentaires Page 1 / 13

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1900338
Ou en français dans le texte ....
T'achètes un PC, t'as une chance sur deux d'acheter de la m...
Le #1900339
DeepBlueOcean a écrit :

Ou en français dans le texte ....
T'achète un PC, t'as une chance sur deux d'acheter de la m...



De base ça pue ... tssss
Le #1900342
l'idéal c'est de formater tout et d'installer son OS à la main, comme ça on contrôle ce qu'on fait.
Et comme il y a tellement de choses à désinstaller, je suis sûr qu'on ne passe pas plus de temps à réinstaller.
Le #1900345
DeepBlueOcean a écrit :

Ou en français dans le texte ....
T'achètes un PC, t'as une chance sur deux d'acheter de la m...


Le configurer soi meme depuis le boitier jusqu'a l'OS reste la meilleure option. Et pas plus chère...
Le #1900365
Pour ça qu'il faut toujours faire une clean installe à l'achat d'un PC en magasin.
Le #1900383
Safirion a écrit :

Pour ça qu'il faut toujours faire une clean installe à l'achat d'un PC en magasin.


Pour ma part, j'ai viré Windows 10 Pro pour un petit Ubuntu 16.04 LTS avec l'environnement d'Elementary OS Loki 0.4 et ses depôts ! Je suis au max !
( PS : Surtout mon vieux notebook Acer )


J'ai installé le .deb de steam même pas besoins de dual-boot avec SteamOS pour jouer ! Je suis aux anges !

#Ubuntu !
#Environnement Elementary OS Loki !
#Netflix sous Chrome et tout le reste sous Tor !
#Steam !
#C'est de la bombe Linux !
#Windows 10 meilleur OS de Microsoft, il n'y a pas à tortiller du croupion !


Peace.
Le #1900394
Luxus a écrit :

Safirion a écrit :

Pour ça qu'il faut toujours faire une clean installe à l'achat d'un PC en magasin.


Pour ma part, j'ai viré Windows 10 Pro pour un petit Ubuntu 16.04 LTS avec l'environnement d'Elementary OS Loki 0.4 et ses depôts ! Je suis au max !
( PS : Surtout mon vieux notebook Acer )


J'ai installé le .deb de steam même pas besoins de dual-boot avec SteamOS pour jouer ! Je suis aux anges !

#Ubuntu !
#Environnement Elementary OS Loki !
#Netflix sous Chrome et tout le reste sous Tor !
#Steam !
#C'est de la bombe Linux !
#Windows 10 meilleur OS de Microsoft, il n'y a pas à tortiller du croupion !


Peace.


en dual; ça ne le faisait pas?
Le #1900395
L'installation d'un logiciel tiers qui met à genou la sécurité du système ! C'est du windows tout craché.
Le #1900398
kerlutinoec a écrit :

L'installation d'un logiciel tiers qui met à genou la sécurité du système ! C'est du windows tout craché.


Plutot son utilisateur imprudent
Le #1900399
skynet a écrit :

l'idéal c'est de formater tout et d'installer son OS à la main, comme ça on contrôle ce qu'on fait.
Et comme il y a tellement de choses à désinstaller, je suis sûr qu'on ne passe pas plus de temps à réinstaller.


Je l'ai fait "à la main" avec un marteau et un burin, mais le HDD ne fonctionne plus

Blague à part, assemblage "maison", ou au clean install sur les PC du commerce, y a rien de mieux si on peut pas se passer de Windows.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]