Lenovo publie un correctif pour combler une vulnérabilité affectant des ordinateurs portables ThinkPad, ainsi que des ordinateurs ThinkCentre et ThinkStation fonctionnant avec Windows 7, 8 et 8.1.

La vulnérabilité se situe au niveau de l'utilitaire Lenovo Fingerprint Manager Pro permettant aux utilisateurs de se connecter à leur ordinateur ou de s'authentifier auprès de sites web en s'appuyant sur la reconnaissance d'empreintes digitales.

Lenovo-Fingerpint-Manager-Pro

Si les modèles avec Windows 10 ne sont pas affectés, c'est parce que la reconnaissance d'empreintes digitales s'appuie alors sur le lecteur intégré de Microsoft. Sinon, Lenovo explique :

" Les données sensibles stockées par Lenovo Fingerprint Manager Pro, y compris les identifiants de connexion Windows et les données d'empreintes digitales des utilisateurs, sont chiffrées à l'aide d'un algorithme faible, avec un mot de passe codé en dur, et sont accessibles à tous les utilisateurs avec un accès local non administrateur. "

La liste des appareils concernés est disponible ici. La correction passe par une mise à jour de Fingerprint Manager Pro à une version 8.01.87 (ou plus). La vulnérabilité a été découverte par un chercheur en sécurité chez Security Compass, et donc pas par Lenovo.