Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Portables HP : un keylogger enregistre en clair les frappes du clavier, un correctif arrive

Des champions du monde !
Internet 4 min
Portables HP : un keylogger enregistre en clair les frappes du clavier, un correctif arrive
Crédits : moshbidon/iStock

En bundle dans certaines machines HP se trouve un keylogger qui enregistre vos frappes dans un fichier texte. Cette brèche de sécurité serait la conséquence d'une « négligence » et HP annonce qu'un correctif est en cours de déploiement. Cette situation appelle à la prudence pour les personnes concernées.

Dans le domaine de la sécurité informatique, les risques sont nombreux. Parfois, la faute incombe aux utilisateurs, par exemple avec des mots de passe bien trop simples. D’autres, aux fabricants et/ou éditeurs, et le client n'y peut alors pas grand-chose. C'est justement le cas avec certains ordinateurs portables provenant de chez Hewlett-Packard.

Un keylogger qui enregistre toutes les frappes... dans un fichier texte

La société suisse Modzero, spécialisée dans la sécurité informatique, explique en effet que le fabricant livre des PC avec un keylogger installé. Pour rappel, il s'agit d'un programme qui intercepte toutes les frappes effectuées sur le clavier. Ici, il enregistre ces informations dans un fichier texte non chiffré : C:\Users\Public\MicTray.log. Cette brèche de sécurité porte la référence CVE-2017-8360.

Ainsi, n'importe quel programme ou personne y accédant peut récupérer l'ensemble des touches frappées par l'utilisateur, y compris les identifiants, les mots de passe et ses correspondances, peu importe qu'elles soient ou non chiffrées par la suite. Seule petite consolation dans ce déluge de mauvaises nouvelles, le fichier est remis à zéro à chaque lancement de la machine.

Comment peut-il se retrouver dans un pilote audio ?

Le keylogger s'installe avec le pilote audio Conexant HD proposé par HP sur son site (version 1.0.0.46 ou plus récent). Il est développé et signé par le fabricant des puces Conexant.

Notez qu'il est habituel que ce genre de programme surveille (mais en aucun cas enregistre) en continu certaines touches pressées par l'utilisateur afin de reconnaitre une combinaison particulière, par exemple pour ajuster le niveau du volume ou le couper. Ce sont les fameux raccourcis clavier présents sur quasiment tous les ordinateurs portables. Si cette pratique est courante, elle va beaucoup trop loin ici.

La liste des machines concernées est assez importante selon les chercheurs. On trouve ainsi des HP Elitebook, des ProBook et des ZBook. Les systèmes d'exploitation Windows 10 et Windows 7 sont touchés par ce problème. Tous les détails sont disponibles par ici. Pour le moment, ils n'ont pas trouvé de situation similaire chez d'autres fabricants.

Keylogger HP
Crédits : Modzero

Pas de mauvaises intentions pour les chercheurs, mais une négligence

Pour l'équipe à l'origine de cette découverte, « il n'y a aucune preuve indiquant que ce keylogger ait été implémenté intentionnellement ». « C'est une négligence des développeurs » ajoutent-ils, ce qui ne change évidemment rien à la gravité de la situation. On serait donc loin du cas SuperFish de Lenovo qui installait volontairement un adware et un certificat racine sur ses machines.

Toujours selon Modzero, il s'agirait d'un reste de fonction qui servait pour des tests, mais qui n'aurait jamais dû passer en production chez les clients. Une approche confirmée par le vice-président de HP Nash Told à plusieurs de nos confrères américains, dont Axios et ZDNet.com : « c'était quelque-chose qui était présent dans le processus de développement et qui aurait dû être retiré ». 

Un correctif poussé via Windows Update

Il ajoute qu'un correctif va être déployé aujourd'hui via Windows Update pour les PC de 2016 concernés, tandis qu'il faudra attendre demain pour les machines de 2015. Le patch sera également directement disponible sur le site du fabricant.

Le pousser via le système de mise à jour de Windows est un bon point, le correctif pouvant ainsi être déployé plus rapidement sur un grand nombre de machines. S'il avait fallu en effet passer par le site du fabricant, de nombreux clients seraient certainement passés à côté.

Pensez à faire le ménage !

En attendant, il est possible de prendre des mesures afin de contourner le problème. Selon les chercheurs, il suffit de supprimer ou renommer les fichiers C:\Windows\System32\MicTray64.exe ou C:\Windows\System32\MicTray.exe (ce qui peut causer des problèmes avec la partie audio bien évidemment). Pensez également à supprimer le fichier C:\Users\Public\MicTray.log où sont enregistrées les frappes du clavier.

Si vous avez effectué des sauvegardes régulières de l'intégralité de votre machine, sachez que ce fichier de log sera également présent, avec l'ensemble des messages saisis durant la journée. Il est donc également recommandé de le supprimer.

Comme toujours en pareille situation où vos mots de passe peuvent être compromis, il est recommandé de les changer afin d'éviter toute mauvaise surprise par la suite. Pour rappel, nous avons consacré un dossier sur ce sujet et sur celui des gestionnaires :

66 commentaires
Avatar de tifounon Abonné
Avatar de tifounontifounon- 12/05/17 à 09:52:53

Et les tests QA c'est pas pour les chiens ! :censored:

Avatar de DaCaiD Abonné
Avatar de DaCaiDDaCaiD- 12/05/17 à 09:53:15

Faut virer le stagiaire !

Avatar de fred42 INpactien
Avatar de fred42fred42- 12/05/17 à 09:55:38

Je reste sans voix !

Qu'un pilote audio puisse lire tous les appuis touches est effarant.
Qu'il demande à l'OS de lui indiquer certains appuis touches ne me poserait pas de problème mais qu'il voit tout et fasse le tri lui-même est une aberration d'architecture de l'OS.

Avatar de Vilainkrauko Abonné
Avatar de VilainkraukoVilainkrauko- 12/05/17 à 09:55:41

Ben mon cochon ... :eeek2:

Ce sera quoi leur excuse cette fois ci : un coup du monstre du loch ness ou d'un blonde intelligente ? :roll:
(Petite note : c'est juste une plaisanterie de ma part et je ne pense pas ce que j'écris !)

Avatar de fred42 INpactien
Avatar de fred42fred42- 12/05/17 à 09:56:35

Comment fais-tu concrètement pour voir ça en test QA ?

Avatar de LostSoul Abonné
Avatar de LostSoulLostSoul- 12/05/17 à 10:02:51

fred42 a écrit :

Comment fais-tu concrètement pour voir ça en test QA ?

En auditant toutes les modifs faites par une application, que ce soit fichier, registry ou réseau. C'est une pratique assez courante.

Avatar de Burn2 Abonné
Avatar de Burn2Burn2- 12/05/17 à 10:03:41

//Delete before production. :transpi:

Avatar de Neliger INpactien
Avatar de NeligerNeliger- 12/05/17 à 10:04:28

C'est de toute beauté, vraiment.

Avatar de LostSoul Abonné
Avatar de LostSoulLostSoul- 12/05/17 à 10:07:05

Ca set le bout de code "for debugging only" qui est resté dans la release, surtout

Avatar de jeje07bis Abonné
Avatar de jeje07bisjeje07bis- 12/05/17 à 10:07:16

HP, winner du jour.

et sinon Keyscrambler is your friend!

Il n'est plus possible de commenter cette actualité.
Page 1 / 7