in

Fonctionnement de la table binaire de la plate-forme Windows

Peu de gens l’ont remarqué à l’époque, mais Microsoft a ajouté une nouvelle fonctionnalité à Windows 8 qui permet aux fabricants d’infecter le micrologiciel UEFI avec du crapware. Windows continuera d’installer et de ressusciter ce logiciel indésirable même après avoir effectué une nouvelle installation.

Cette fonctionnalité continue d’être présente sur Windows 10, et il est absolument mystifiant pourquoi Microsoft donnerait autant de puissance aux fabricants de PC. Cela souligne l’importance d’acheter des PC sur le Microsoft Store – même effectuer une installation propre peut ne pas éliminer tous les bloatwares préinstallés.

WPBT 101

À partir de Windows 8, un fabricant de PC peut intégrer un programme – un fichier Windows .exe, essentiellement – dans le micrologiciel UEFI du PC. Celui-ci est stocké dans la section «Table binaire de la plate-forme Windows» (WPBT) du micrologiciel UEFI. À chaque démarrage de Windows, il examine le micrologiciel UEFI de ce programme, le copie du micrologiciel sur le lecteur du système d’exploitation et l’exécute. Windows lui-même ne fournit aucun moyen d’empêcher cela de se produire. Si le micrologiciel UEFI du fabricant le propose, Windows l’exécutera sans aucun doute.

LSE de Lenovo et ses trous de sécurité

Il est impossible d’écrire sur cette fonctionnalité discutable sans le noter l’affaire qui l’a porté à l’attention du public. Lenovo a expédié une variété de PC avec ce que l’on appelle le «Lenovo Service Engine» (LSE) activé. Voici ce que prétend Lenovo une liste complète des PC concernés.

Lorsque le programme est automatiquement exécuté par Windows 8, Lenovo Service Engine télécharge un programme appelé OneKey Optimizer et signale une certaine quantité de données à Lenovo. Lenovo met en place des services système conçus pour télécharger et mettre à jour des logiciels à partir d’Internet, ce qui rend leur suppression impossible – ils reviendront même automatiquement après une nouvelle installation de Windows.

Lenovo est allé encore plus loin en étendant cette technique douteuse à Windows 7. Le micrologiciel UEFI vérifie le fichier C: Windows system32 autochk.exe et l’écrase avec la propre version de Lenovo. Ce programme s’exécute au démarrage pour vérifier le système de fichiers sous Windows, et cette astuce permet à Lenovo de faire fonctionner cette mauvaise pratique également sous Windows 7. Cela montre simplement que le WPBT n’est même pas nécessaire – les fabricants de PC pourraient simplement faire écraser les fichiers système de Windows par leurs firmwares.

Microsoft et Lenovo ont découvert une faille de sécurité majeure avec cela qui peut être exploitée, alors Lenovo a heureusement arrêté de livrer des PC avec ces vilains déchets. Offres Lenovo une mise à jour qui supprimera LSE des ordinateurs portables et une mise à jour qui supprimera LSE des PC de bureau. Cependant, ceux-ci ne sont pas téléchargés et installés automatiquement, de sorte que de nombreux PC Lenovo – probablement les plus affectés – continueront à avoir ces fichiers indésirables installés dans leur micrologiciel UEFI.

C’est juste un autre problème de sécurité désagréable du fabricant de PC qui nous a amené des PC infectés par Superfish. On ne sait pas si d’autres fabricants de PC ont abusé du WPBT de la même manière sur certains de leurs PC.

Que dit Microsoft à ce sujet?

Comme le note Lenovo:

«Microsoft a récemment publié des directives de sécurité mises à jour sur la meilleure façon de mettre en œuvre cette fonctionnalité. L’utilisation de LSE par Lenovo n’est pas conforme à ces directives et Lenovo a donc cessé de livrer des modèles de bureau avec cet utilitaire et recommande aux clients avec cet utilitaire activé d’exécuter un utilitaire de «nettoyage» qui supprime les fichiers LSE du bureau. »

En d’autres termes, la fonctionnalité Lenovo LSE qui utilise le WPBT pour télécharger des logiciels indésirables à partir d’Internet était autorisée selon la conception et les directives originales de Microsoft pour la fonctionnalité WPBT. Les lignes directrices n’ont été affinées que maintenant.

Microsoft n’offre pas beaucoup d’informations à ce sujet. Il y a juste un seul fichier .docx – pas même une page Web – sur le site Web de Microsoft avec des informations sur cette fonctionnalité. Vous pouvez en apprendre tout ce que vous voulez en lisant le document. Il explique la raison pour laquelle Microsoft a inclus cette fonctionnalité, en utilisant un logiciel antivol persistant comme exemple:

«L’objectif principal de WPBT est de permettre aux logiciels critiques de persister même lorsque le système d’exploitation a changé ou a été réinstallé dans une configuration« propre ». Un cas d’utilisation de WPBT consiste à activer le logiciel antivol qui doit persister en cas de vol, de formatage et de réinstallation d’un appareil. Dans ce scénario, la fonctionnalité WPBT permet au logiciel antivol de se réinstaller dans le système d’exploitation et de continuer à fonctionner comme prévu. »

Cette défense de la fonctionnalité n’a été ajoutée au document qu’après que Lenovo l’ait utilisée à d’autres fins.

Votre PC inclut-il le logiciel WPBT?

Sur les PC utilisant le WPBT, Windows lit les données binaires de la table du microprogramme UEFI et les copie dans un fichier nommé wpbbin.exe au démarrage.

Vous pouvez vérifier votre propre PC pour voir si le fabricant a inclus un logiciel dans le WPBT. Pour le savoir, ouvrez le répertoire C: Windows system32 et recherchez un fichier nommé wpbbin.exe. Le fichier C: Windows system32 wpbbin.exe n’existe que si Windows le copie à partir du micrologiciel UEFI. S’il n’est pas présent, le fabricant de votre PC n’a pas utilisé WPBT pour exécuter automatiquement le logiciel sur votre PC.

Éviter WPBT et autres logiciels indésirables

Microsoft a mis en place quelques règles supplémentaires pour cette fonctionnalité à la suite de l’échec de sécurité irresponsable de Lenovo. Mais il est déconcertant que cette fonctionnalité existe même en premier lieu – et surtout déconcertant que Microsoft la fournisse aux fabricants de PC sans exigences de sécurité ni directives claires sur son utilisation.

Les directives révisées demandent aux OEM de s’assurer que les utilisateurs peuvent réellement désactiver cette fonctionnalité s’ils ne le souhaitent pas, mais les directives de Microsoft n’ont pas empêché les fabricants de PC d’abuser de la sécurité Windows dans le passé. Témoin Samsung expédie des PC avec Windows Update désactivé car c’était plus facile que de travailler avec Microsoft pour s’assurer que les pilotes appropriés étaient ajoutés à Windows Update.

Ceci est encore un autre exemple de fabricants de PC qui ne prennent pas la sécurité Windows au sérieux. Si vous envisagez d’acheter un nouveau PC Windows, nous vous recommandons d’en acheter un sur le Microsoft Store, Microsoft se soucie réellement de ces PC et s’assure qu’ils ne disposent pas de logiciels nuisibles comme Lenovo Superfish, Samsung Disable_WindowsUpdate.exe, la fonctionnalité LSE de Lenovo, et tous les autres déchets qu’un PC typique pourrait fournir.

Lorsque nous avons écrit cela dans le passé, de nombreux lecteurs ont répondu que cela n’était pas nécessaire car vous pouviez toujours simplement effectuer une installation propre de Windows pour vous débarrasser de tout bloatware. Eh bien, apparemment, ce n’est pas vrai – le seul moyen infaillible d’obtenir un PC Windows sans bloatware est à partir du Microsoft Store. Il ne devrait pas en être ainsi, mais c’est le cas.

Ce qui est particulièrement troublant à propos du WPBT, ce n’est pas seulement l’échec complet de Lenovo à l’utiliser pour intégrer des vulnérabilités de sécurité et des logiciels indésirables dans des installations propres de Windows. Ce qui est particulièrement inquiétant, c’est que Microsoft fournit des fonctionnalités comme celle-ci aux fabricants de PC, en particulier sans limitations ni conseils appropriés.

Il a également fallu plusieurs années avant que cette fonctionnalité ne soit même remarquée dans le monde de la technologie au sens large, et cela ne s’est produit qu’en raison d’une faille de sécurité désagréable. Qui sait quelles autres fonctionnalités désagréables sont intégrées à Windows pour que les fabricants de PC puissent en abuser. Les fabricants de PC traînent la réputation de Windows dans la boue et Microsoft doit les maîtriser.

Crédit d’image: Cory M. Grenier sur Flickr

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Comment créer une chronologie dans Microsoft PowerPoint

Comment renommer des fichiers à partir de la boîte de dialogue Enregistrer sous OS X

Comment renommer des fichiers à partir de la boîte de dialogue Enregistrer sous OS X