Revoilà Lenovo sous le feu des projecteurs pour avoir pré-installé différents outils sur ses ordinateurs. Cette fois, il s’agit d’une fonctionnalité dans son BIOS qui télécharge automatiquement des logiciels liés à certains services (Lenovo Service Engine), même lorsque l’utilisateur a effectué une installation propre de Windows après avoir nettoyé son ordinateur. Microsoft permet en fait ce genre de pratique, mais le problème est que la façon dont la chose est faite ici peut entraîner une faille de sécurité découverte au printemps par un chercheur en sécurité indépendant. Microsoft avait alors communiqué des recommandations en cas d'utilisation de cette technique (Windows Platform Binary Table) sur le BIOS. Comme le dispositif Lenovo Service Engine ne les respectait pas, le constructeur a supprimé l’outil de son BiOS sur tous ses PC livrés après juin. La société a aussi livré un outil de déinstallation spécifique et effectué une mise à jour de son BIOS le 31 juillet dernier pour supprimer les outils sur certains de ses notebooks. Des dizaines de PC sont affectés mais pas la gamme Think, précise le fabricant. Il y a quelques mois déjà, Lenovo avait été critiqué pour avoir préchargé sur certains PC grand public le logiciel publicitaire Superfish.
La révélation de ce mécanisme soulève deux points : outre que son existence a été largement passée sous silence, on peut se demander si d’autres vendeurs de PC ne l’utilisent pas encore pour installer sans bruit leurs propres outils. Ainsi que le mentionne le site TheNextWeb, le service de Lenovo ne concernait pas seulement la mise à jour de drivers, du firmware et la préinstallation d’apps, mais il envoyait aussi des informations de système à un serveur Lenovo pour aider le fabricant à comprendre comment les clients utilisent les produits. Bien que Lenovo précise qu’il ne collecte pas de données personnelles identifiables, les utilisateurs n’en étaient pas avertis.
Commentaire