Les vulnérabilités pullulent en ce début d'année. Après celles ayant affecté des millions de systèmes Linux et Android, la plateforme e-commerce open source Magento, ou encore Oracle et son record de 248 correctifs sans oublier le coffre-fort à mots de de passe de Trend Micro transformé en passoire, c'est au tour de Lenovo d'être concerné. Le constructeur chinois a en effet été confronté à un sérieux trou de sécurité découvert par la société Core Security. Elle permet à une personne mal intentionnée de parcourir et de faire des copies de fichiers personnels appartenant à un utilisateur.

L'application concernée par cette vulnérabilité est ShareIt, un utilitaire de partage de fichiers multi terminaux installé par défaut dans de nombreux terminaux Lenovo dont les PC portables ThinkPad, les tablettes IdeaPad ainsi que d'autres terminaux mobiles. Toutes les versions de ShareIt ne sont toutefois pas concernées : en l'état, seuls les packages Android 3.0.18_ww et Windows 2.5.1.1 sont concernés, a précisé Core Security. Sur Windows, la version vulnérable est peut permettre à n'importe qui de se connecter à l'application via le mot de passe étrangement pas du tout sécurisé « 12345678 ».

Des mises à jour disponibles

Core Security a trouvé par ailleurs trois autres problèmes avec la version Windows de ShareIt. Une seconde vulnérabilité logicielle permettrait à un attaquant d'avoir accès au nom des fichiers accessibles par l'utilisateur. De plus, les versions Windows aussi bien qu'Android n'utilisent pas le chiffrement quand les fichiers sont transférés mais simplement le protocole HTTP ce qui signifie que les fichiers sont également vulnérables à une attaque de type man-in-the-middle. Sur les terminaux Android, ShareIt ne se contentait même pas d'un mauvais mot de passe pour se connecter à un hotspot WiFi, n'importe quel terminal à portée étant en mesure de le rejoindre.

Des mises à jour ont été effectuées et Lenovo enjoint les utilisateurs des versions concernées à migrer vers la 3.2.0 pour Windows et 3.5.38_ww pour Android. Un mode sécurisé a aussi été mis en place pour l'occasion demandant aux utilisateurs de SahreIt de créer un mot de passe unique avant de partager les fichiers. Et pour l'occasion, les documents transférés bénéficient d'un chiffrement AES 256-bits.