En bundle dans certaines machines HP se trouve un keylogger qui enregistre vos frappes dans un fichier texte. Cette brèche de sécurité serait la conséquence d'une « négligence » et HP annonce qu'un correctif est en cours de déploiement. Cette situation appelle à la prudence pour les personnes concernées.
Dans le domaine de la sécurité informatique, les risques sont nombreux. Parfois, la faute incombe aux utilisateurs, par exemple avec des mots de passe bien trop simples. D’autres, aux fabricants et/ou éditeurs, et le client n'y peut alors pas grand-chose. C'est justement le cas avec certains ordinateurs portables provenant de chez Hewlett-Packard.
Un keylogger qui enregistre toutes les frappes... dans un fichier texte
La société suisse Modzero, spécialisée dans la sécurité informatique, explique en effet que le fabricant livre des PC avec un keylogger installé. Pour rappel, il s'agit d'un programme qui intercepte toutes les frappes effectuées sur le clavier. Ici, il enregistre ces informations dans un fichier texte non chiffré : C:\Users\Public\MicTray.log. Cette brèche de sécurité porte la référence CVE-2017-8360.
Ainsi, n'importe quel programme ou personne y accédant peut récupérer l'ensemble des touches frappées par l'utilisateur, y compris les identifiants, les mots de passe et ses correspondances, peu importe qu'elles soient ou non chiffrées par la suite. Seule petite consolation dans ce déluge de mauvaises nouvelles, le fichier est remis à zéro à chaque lancement de la machine.
Comment peut-il se retrouver dans un pilote audio ?
Le keylogger s'installe avec le pilote audio Conexant HD proposé par HP sur son site (version 1.0.0.46 ou plus récent). Il est développé et signé par le fabricant des puces Conexant.
Notez qu'il est habituel que ce genre de programme surveille (mais en aucun cas enregistre) en continu certaines touches pressées par l'utilisateur afin de reconnaitre une combinaison particulière, par exemple pour ajuster le niveau du volume ou le couper. Ce sont les fameux raccourcis clavier présents sur quasiment tous les ordinateurs portables. Si cette pratique est courante, elle va beaucoup trop loin ici.
La liste des machines concernées est assez importante selon les chercheurs. On trouve ainsi des HP Elitebook, des ProBook et des ZBook. Les systèmes d'exploitation Windows 10 et Windows 7 sont touchés par ce problème. Tous les détails sont disponibles par ici. Pour le moment, ils n'ont pas trouvé de situation similaire chez d'autres fabricants.
Pas de mauvaises intentions pour les chercheurs, mais une négligence
Pour l'équipe à l'origine de cette découverte, « il n'y a aucune preuve indiquant que ce keylogger ait été implémenté intentionnellement ». « C'est une négligence des développeurs » ajoutent-ils, ce qui ne change évidemment rien à la gravité de la situation. On serait donc loin du cas SuperFish de Lenovo qui installait volontairement un adware et un certificat racine sur ses machines.
Toujours selon Modzero, il s'agirait d'un reste de fonction qui servait pour des tests, mais qui n'aurait jamais dû passer en production chez les clients. Une approche confirmée par le vice-président de HP Nash Told à plusieurs de nos confrères américains, dont Axios et ZDNet.com : « c'était quelque-chose qui était présent dans le processus de développement et qui aurait dû être retiré ».
Un correctif poussé via Windows Update
Il ajoute qu'un correctif va être déployé aujourd'hui via Windows Update pour les PC de 2016 concernés, tandis qu'il faudra attendre demain pour les machines de 2015. Le patch sera également directement disponible sur le site du fabricant.
Le pousser via le système de mise à jour de Windows est un bon point, le correctif pouvant ainsi être déployé plus rapidement sur un grand nombre de machines. S'il avait fallu en effet passer par le site du fabricant, de nombreux clients seraient certainement passés à côté.
Pensez à faire le ménage !
En attendant, il est possible de prendre des mesures afin de contourner le problème. Selon les chercheurs, il suffit de supprimer ou renommer les fichiers C:\Windows\System32\MicTray64.exe ou C:\Windows\System32\MicTray.exe (ce qui peut causer des problèmes avec la partie audio bien évidemment). Pensez également à supprimer le fichier C:\Users\Public\MicTray.log où sont enregistrées les frappes du clavier.
Si vous avez effectué des sauvegardes régulières de l'intégralité de votre machine, sachez que ce fichier de log sera également présent, avec l'ensemble des messages saisis durant la journée. Il est donc également recommandé de le supprimer.
Comme toujours en pareille situation où vos mots de passe peuvent être compromis, il est recommandé de les changer afin d'éviter toute mauvaise surprise par la suite. Pour rappel, nous avons consacré un dossier sur ce sujet et sur celui des gestionnaires :
