Scandale : Lenovo cache un bloatware dans ses firmwares

Le Lenovo Service Engine, implanté directement dans le Bios des PC Lenovo, avait pour objectif d’aider les utilisateurs. Il cachait toutefois une faille de sécurité.

Vous voulez disposer d’une installation propre de Windows sur votre PC Lenovo ? Voilà une option que le constructeur ne permettait jusqu’alors pas sur ses ordinateurs grand public.

Le Lenovo Service Engine (LSE), installé directement au sein du Bios des PC du constructeur, altérait en effet les fichiers système de Windows afin de forcer l’installation de OneKey Optimizer, chargé d’assurer la mise en place des pilotes et applications proposés par Lenovo. Par la même occasion, des données ‘anonymes’ étaient remontées sur les serveurs de la société.

Dans l’absolu, cette approche était plutôt astucieuse et permettait de disposer d’un PC à jour, même en cas de réinstallation depuis un DVD standard de Windows. Toutefois, une faille de sécurité dans ce module a été détectée et permet potentiellement l’installation de malwares à distance par des pirates. Encore un nouveau scandale pour Lenovo, qui s’en serait bien passé après l’affaire Superfish.

Les gammes professionnelles épargnées

Lenovo résume la situation dans son bulletin de sécurité LEN-2015-020. La firme a pris des mesures pour stopper cette menace.

Côté notebooks, aucun ThinkPad n’est touché par cette faille. Sont concernés, les ordinateurs portables suivants : Flex 2 Pro 15 / Edge 15 (Broadwell et Haswell), Flex 3 1120, Flex 3 1470/1570, G40-80, G50-80, G50-80 Touch, G70-80, M40-35, S41-70, S435, U41-70, V3000, Y40-80, Yoga 3 11, Yoga3 14, Z41-70, Z51-70 et Z70-80.

Des machines desktops sont aussi livrées avec LSE : A540, A740, B750, B4030, B5030, B5035, C260, C2005, C2030, C4005, C4030, C5030, H3000, H3050, H5000, H5050, H5055, Horizon 2 27, Horizon 2e (Yoga Home 500), Horizon 2S, X310 (A78) et X315 (B85).

Désinstallation express de LSE

Lenovo propose un correctif permettant de désactiver LSE, à la fois dans l’OS (Windows 7, 8, 8.1 ou 10) et dans le Bios. Vous le trouverez à cette adresse. Curieusement, ce correctif n’est pas installé automatiquement par les outils du constructeur. Il faudra donc le télécharger et le lancer manuellement. Notez que LSE a été retiré de toutes les machines assemblées depuis juin 2015.

Pour ceux n’utilisant pas le mode UEFI (Unified Extensible Firmware Interface), une mise à jour du Bios sera requise afin d’éliminer LSE. Certains liens vers les derniers Bios sont cités dans le bulletin de sécurité LEN-2015-020. Pour les autres, le plus simple reste – ironiquement – de s’appuyer sur les outils de mise à jour de Lenovo, qui se chargeront de télécharger et installer le dernier firmware disponible.

Combien d’autres constructeurs concernés ?

Le procédé utilisé par LSE n’a rien d’inédit. Il est même documenté par Microsoft sous le nom de Windows Platform Binary Table (WPBT). L’éditeur américain a revu les processus de sécurité liés à l’exploitation de cette fonctionnalité. LSE s’avère ne pas être compatible avec les dernières recommandations en date.

La grande question est maintenant de savoir quels autres constructeurs ont utilisé le WPBT et combien d’entre eux ont négligé l’aspect sécurité.