Lenovo : faille de mot de passe codé en dur pour la gestion des empreintes digitales

Le par  |  2 commentaire(s)
Empreinte-digitale

Même si cela relève d'une vulnérabilité d'élévation de privilèges en local, c'est une grosse faille à corriger qui touche la gestion des empreintes digitales avec des ordinateurs Lenovo et l'utilitaire Lenovo Fingerprint Manager Pro.

Lenovo publie un correctif pour combler une vulnérabilité affectant des ordinateurs portables ThinkPad, ainsi que des ordinateurs ThinkCentre et ThinkStation fonctionnant avec Windows 7, 8 et 8.1.

La vulnérabilité se situe au niveau de l'utilitaire Lenovo Fingerprint Manager Pro permettant aux utilisateurs de se connecter à leur ordinateur ou de s'authentifier auprès de sites web en s'appuyant sur la reconnaissance d'empreintes digitales.

Lenovo-Fingerpint-Manager-Pro

Si les modèles avec Windows 10 ne sont pas affectés, c'est parce que la reconnaissance d'empreintes digitales s'appuie alors sur le lecteur intégré de Microsoft. Sinon, Lenovo explique :

" Les données sensibles stockées par Lenovo Fingerprint Manager Pro, y compris les identifiants de connexion Windows et les données d'empreintes digitales des utilisateurs, sont chiffrées à l'aide d'un algorithme faible, avec un mot de passe codé en dur, et sont accessibles à tous les utilisateurs avec un accès local non administrateur. "

La liste des appareils concernés est disponible ici. La correction passe par une mise à jour de Fingerprint Manager Pro à une version 8.01.87 (ou plus). La vulnérabilité a été découverte par un chercheur en sécurité chez Security Compass, et donc pas par Lenovo.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1997900
Lenovo a été négligent . Seule l'innovation fiable permettra au fournisseur chinois de se distinguer.
Le #1997976
Ça fait un peu le développeur qui ne veut pas trop se prendre la tête.
Suivre les commentaires
Poster un commentaire
Anonyme