Si vous avez acheté un PC portable HP depuis fin 2015, ce que vous avez écrit a peut-être été enregistré. Sur son site, l’entreprise de sécurité Modzero a publié un article concernant la présence d’un keylogger dans de nombreuses machines du fabricant américain. Pour rappel, un keylogger est un logiciel qui enregistre tout ce qui est tapé au clavier, que le contenu s’affiche à l’écran ou non. Les mots de passe n’y échappent donc pas. Dans le cas de HP, c’est un pilote permettant de faire fonctionner la carte son qui a manqué de discrétion. Parmi les modèles concernés, on retrouve des EliteBook, des ProBook ou des ZBook.
[EN] Keylogger in Hewlett-Packard Audio Driver – Blog post (https://t.co/x1aybAAnKC) and Security Advisory (https://t.co/6ObxOjd0df)
— @[email protected] (@mod0) May 11, 2017
Le fichier incriminé est un exécutable développé par l’entreprise Conexant (fabricant du composant) et installé sur les machines vendues ces derniers mois. Selon Modzero, le fichier « MicTray64.exe est installé avec le pilote audio de Conexant et est enregistré en tant que tâche planifiée par Microsoft, à effectuer après chaque ouverture de session ». Le but du pilote baptisé Conexant HD (version 1.0.0.46) est d’assurer le bon fonctionnement de touches spécifiques à certains modèles de chez HP, par exemple pour permettre à l’utilisateur de désactiver le microphone. Mais dans ses procédures de diagnostic, le logiciel voyait un peu large : il recensait toutes les touches du clavier sollicitées par l’utilisateur, se transformant de fait en keylogger.
Un correctif disponible
Les données récoltées étaient stockées dans un fichier nommé MicTray.log. Son contenu était effacé à chaque ouverture de session. Mais comme le rappelle le site Ars Technica, il existe de nombreux moyens de mettre la main sur des fichiers disparus. Par ailleurs, les sauvegardes de Windows sont susceptibles de garder ce type d’informations. Les enregistrements générés par le fichier MicTray64.exe laissaient donc la possibilité à des hackers de mettre la main sur ces données sensibles et non protégées.
Quelques heures après la publication de Modzero, le vice-président de HP a précisé à ZDNet qu’un correctif était disponible et accessible depuis Windows Update ou directement sur le site de HP. Il a également affirmé que les procédures de diagnostic du fichier agissant comme keylogger n’étaient pas destinées à être déployées auprès des utilisateurs finaux.
Ce vendredi, en fin d’après-midi, nous avons eu -à l’initiative de HP- un entretien avec M. Mike Nash, Chief Technologist and Vice President of Customer Experience, Personal Systems, HP Inc.
Ce dernier est revenu sur l’incident et nous a bien reconfirmé que HP avait bien mis à disposition, sur son site internet, un correctif hier (pour une première génération de machines) et un autre aujourd’hui (pour la seconde génération) afin de régler le problème. Pour être sûr que tous les utilisateurs possédant une machine concernée voient leur PC patché, HP réaffirme avoir demandé à Microsoft de déployer le correctif via Windows Update également.
M. Nash a enfin insisté sur le fait que la présence de ce programme et du fichier généré par ce dernier était bien involontaire de la part du constructeur. Mais il reconnaît que ce duo est utilisé uniquement à des fins de tests/diagnostics lors de processus de vérifications en sortie de chaîne de production. En aucun cas, HP n’a voulu espionner ou utilisé un moyen de collecter des données sur ces machines destinées aux professionnels.
A la question concernant la potentielle récupération des données -bien qu’effacées- par des gens mal intentionnés, M. Nash reconnaît que ce serait le pire scénario envisageable mais maintient, malgré nos remarques et contre-arguments à ce propos, que le correctif devrait empêcher toute opération de ce genre.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.