Découverte d’une faille dans le scanneur d’empreintes digitales de Lenovo !

Lenovo vient de publier des mises à jour de sécurité pour son scanneur d’empreintes digitales Fingerprint Manager Pro qui présentait une faille susceptible de le contourner via des mots de passe codés en dur.

Ces mises à jour de sécurité concerne ses produits ThinkPad, ThinkCentre, et ThinkStation. Fingerprint Manager Pro est une application développée par Lenovo qui permet aux utilisateurs de se connecter à des machines Windows et des sites Web en ligne en scannant une de leurs empreintes digitales.

Selon Lenovo, «les données sensibles stockées par Lenovo Fingerprint Manager Pro, y compris les informations d’identification d’ouverture de session Windows et les données d’empreintes digitales des utilisateurs, sont chiffrées à l’aide d’un algorithme faible, elle contiennent un mot de passe codé en dur et sont accessibles à tous les utilisateurs ayant un accès local non administrateur« .

Cela signifie qu’un attaquant pourrait tirer parti du mot de passe pour contourner l’authentification des empreintes digitales, et même décrypter les informations d’identification d’ouverture de session Windows existantes et les données d’empreintes digitales. (Sources Lenovo)