Previous Story
Tracer Absolute Computrace
En février dernier, nous vous parlions dans les colonnes de l’ancienne version de zataz.com (retrouvez les archives depuis 1996 ICI) d’Absolute Computrace. A l’époque, nous vous révélions comment l’équipe de chercheurs en sécurité de Kaspersky Lab avait dévoilé les faiblesses d’implémentation du logiciel antivol commercialisé par Absolute Software. Un outil qui transforme un précieux outil de protection en un puissant instrument de cyberattaques. L’attaque se focalise sur l’agent Absolute Computrace résidant dans le firmware (ROM BIOS) de modèles récents de PC portables ou de bureau. En effet, cette configuration laisse aux attaquants libre accès aux ordinateurs de millions d’utilisateurs.
La principale motivation de cette étude a été la découverte d’un agent Computrace s’exécutant sans autorisation préalable sur plusieurs ordinateurs personnels de chercheurs de Kaspersky Lab ou machines de la société. Si Computrace est un logiciel développé par Absolute Software, certains utilisateurs affirment ne l’avoir jamais installé ou activé sur leur système, voire en ignorer totalement l’existence. La plupart des logiciels préinstallés peuvent être supprimés ou désactivés par l’utilisateur, or Computrace est conçu pour résister à un nettoyage du système et même à un remplacement du disque dur.
L’utilisateur peut prendre par erreur Computrace pour un logiciel malveillant. En effet, il recourt à de nombreuses techniques couramment employées par les malwares modernes, destinées à empêcher le débogage et la rétro-ingénierie ; injecter d’autres processus dans la mémoire ; établir des communications secrètes ; modifier des fichiers systèmes sur le disque ; crypter des fichiers de configuration ou encore extraire un exécutable Windows du firmware (BIOS). « Des individus disposant de la puissance nécessaire pour intercepter les communications sur les fibres optiques peuvent potentiellement pirater des ordinateurs sur lesquels fonctionne Absolute Computrace. Ce logiciel peut servir à implanter des spywares », avertit Vitaly Kamluk, chercheur principal en sécurité au sein de l’équipe internationale de chercheurs et d’analystes (GReAT) de Kaspersky Lab. « Nous estimons qu’Absolute Computrace est actif sur plusieurs millions d’ordinateurs, et ce peut-être à l’insu d’un grand nombre d’utilisateurs. Qui a des raisons d’activer Computrace sur toutes ces machines ? Sont-elles surveillées par des inconnus ? Il y a là un mystère qu’il nous faut éclaircir. »
150.000 machines plombées
L’agent Computrace fonctionnerait sur les machines d’environ 150.000 utilisateurs. Le nombre total d’utilisateurs chez qui l’agent Computrace est activé est estimé à plus de 2 millions. Le doute subsiste quant à la proportion de ces utilisateurs qui sont au courant de la présence de Computrace sur leur système. La majorité de ces ordinateurs se trouvent aux États-Unis et en Russie. Le protocole réseau utilisé par le logiciel Computrace Small Agent offre des fonctionnalités de base pour l’exécution de code à distance. Ce protocole n’exige ni cryptage ni authentification du serveur distant, ce qui crée de multiples possibilités d’attaques télécommandées dans un environnement réseau hostile.
Tracer un traceur sachant tracer
Bref, un logiciel qui pourrait se retourner contre ses utilisateurs. Jean-Pierre Lesueur, un informaticien et chercheur en sécurité informatique propose un outil qui détecte, si oui ou non, votre machine est en danger face à l’utilisation malveillante de Computrace. Baptisé Phrozen Software Computrace Spyware Detector, en quelques secondes, vous saurez si votre machine et votre vie privé sont en danger.
