La plupart des PC sont vendus avec des logiciels préinstallés par les constructeurs, programmes parfois assez dérangeants. Mais qui aurait cru un jour que ces logiciels pourraient présenter des failles de sécurité ? Et bien pourtant c'est le cas et chez plusieurs constructeurs réputés.

A l'instar des smartphones Android vendus avec surcouche, de nombreux PC sont livrés avec des logiciels préinstallés. Des bloatwares dérangeants qui tiennent de la place sur le disque dur et s'exécutent souvent sans vous demander votre avis. Mais si encore c'était leur seul défaut ! Malheureusement, ce n'est pas le cas. Les chercheurs de Duo Labs viennent de mettre en évidence la présence de failles de sécurité au sein de certains logiciels préinstallés.

Tout est parti au départ d'une petite expérience visant à évaluer la sécurité de nouvelles machines après les deux grosses failles de sécurité découvertes l'an dernier chez Dell et Lenovo. Les chercheurs de Duo Labs sont parti à la recherche de failles au sein des logiciels préinstallés sur les nouveaux PC d'Acer, Asus, Dell, HP et Lenovo. Des vulnérabilités qui viennent s'ajouter aux failles de Windows.

Dans le rapport de 36 pages qu'ils ont livré, on apprend que chez chacun des cinq constructeurs cités, on retrouve au moins une faille permettant une attaque de type man in the middle et l'exécution de code arbitraire qui pourrait ainsi conduire un hacker à prendre le contrôle total de la machine. Encore un beau scandale. Comme le précise Duo Labs, la plupart du temps, les constructeurs n'effectuent correctement pas les vérifications nécessaires au niveau des logiciels préinstallée, un comble !

Notez que ces failles ont été découvertes sur des PC tournant sous Windows 8.1 ou Windows 10 actuellement utilisé par plus de 300 millions de personnes. Machines parmi lesquelles trois sont étiquetées « Microsoft Signature Edition » et ne devraient donc pas contenir de logiciels préinstallés.

• Lire également : une faille de Chrome et Firefox permet d'espionner 80% des PC

On notera que toutes ces failles ont été découvertes il y a plus de trois mois, les constructeurs en ont donc été notifiés. Dell, HP et Lenovo ont déjà fait le nécessaire et Asus et Acer devraient suivre. Les tests ont été réalisés sur les dix machines suivantes :

1. Lenovo Flex 3,
2. HP Envy,
3. HP Stream x360 (Microsoft Signature Edition),
4. HP Stream (UK version),
5. Lenovo G50-80 (UK version),
6. Acer Aspire F15 (UK version),
7. Dell Inspiron 14 (Canada version),
8. Dell Inspiron 15-5548 (Microsoft Signature Edition),
9. Asus TP200S,
10. Asus TP200S (Microsoft Signature Edition)