Lenovo publie un correctif pour combler une vulnérabilité affectant des ordinateurs portables ThinkPad, ainsi que des ordinateurs ThinkCentre et ThinkStation fonctionnant avec Windows 7, 8 et 8.1.
La vulnérabilité se situe au niveau de l'utilitaire Lenovo Fingerprint Manager Pro permettant aux utilisateurs de se connecter à leur ordinateur ou de s'authentifier auprès de sites web en s'appuyant sur la reconnaissance d'empreintes digitales.
Si les modèles avec Windows 10 ne sont pas affectés, c'est parce que la reconnaissance d'empreintes digitales s'appuie alors sur le lecteur intégré de Microsoft. Sinon, Lenovo explique :
" Les données sensibles stockées par Lenovo Fingerprint Manager Pro, y compris les identifiants de connexion Windows et les données d'empreintes digitales des utilisateurs, sont chiffrées à l'aide d'un algorithme faible, avec un mot de passe codé en dur, et sont accessibles à tous les utilisateurs avec un accès local non administrateur. "
La liste des appareils concernés est disponible ici. La correction passe par une mise à jour de Fingerprint Manager Pro à une version 8.01.87 (ou plus). La vulnérabilité a été découverte par un chercheur en sécurité chez Security Compass, et donc pas par Lenovo.