Un keylogger installé dans 28 modèles d’ordinateurs HP

Un keylogger dans votre ordinateur portable HP ? Les pilotes audio Conexant HD installés d’usine peuvent être exploités par un pirate pour espionner via vos frappes clavier.

Voilà un nouveau logiciel installé d’usine dans un ordinateur capable de fournir les frappes clavier, en mode keylogger, de son utilisateur. C’est Kamarade Korben qui explique que les pilotes audio Conexant HD installé dans 28 modèles d’ordinateurs portables HP sont touchés par ce petit mouchard. C’est un logiciel du nom de MicTray64.exe, installé d’usine dans les laptops HP depuis 2015, qui permet de couper le son de son micro, baisser le son ou jouer avec la diode lumineuse en charge d’informer sur un enregistrement en cours qui est montré du doigt. Pour cela, Conexant High-Definition, qui intégre MicTray64, permet de configurer son clavier. Chaque touche ayant ainsi une fonction propre. Le probléme a été découvert par des chercheurs Suisses en sécurité informatique de chez modzero.ch. Ils démontrent que le programme MicTray64.exe [ c:\windows\system32\mictray64.exe] sauvegarde dans les ordinateurs, sous la forme d’un fichier log, toutes les frappes sur le clavier effectuées. Bilan, un malveillant ayant accès à votre ordinateur, physiquement ou via un code dédié lancé à partir d’un site Internet particulièrement codé pour l’occasion, peut récupérer et lire ce fichier log transformé en mouchard. Bref, un keylogger facile et efficace.

Vingt-huit modéles HP (ProBok, EliteBook, Zbook et ELite) sont concernés. Pour tester votre machine, et savoir si vous êtes concernés, voyez donc dans votre machine le fichier MicTray.log dans le dossier C:\Users\Public\MicTray.log

Un cas pas si rare que cela et qui ne touche pas que les utilisateurs de PC/Windows. Il y a deux ans, les possesseurs de MAC se retrouvaient confronter au même type de problème. C’est Data Security Breach qui expliquait alors la découverte d’un chercheur en sécurité dans OS X 10.10 (Yosemite). Chaque information tapée dans Firefox, Thunderbird… était sauvegardée dans un fichier texte, caché dans le dossier /tmp de la machine. Les CoreGraphics avaient cette capacité d’enregistrement mais le « keylogger » avait été désactivé par défaut. Bizarrement, il était de nouveau réactivé dans OS X 10.10. DataSecurityBreach propose une méthode pour faire disparaître ce « big brother ».

En 2016, le FBI s’inquiétait d’un keylogger qu’il était possible d’installer dans une prise USB. Bref, le mal, volontaire ou non, n’a plus de frontière !

Les machines concernées

HP EliteBook 820 G3 Notebook PC
HP EliteBook 828 G3 Notebook PC
HP EliteBook 840 G3 Notebook PC
HP EliteBook 848 G3 Notebook PC
HP EliteBook 850 G3 Notebook PC
HP ProBook 640 G2 Notebook PC
HP ProBook 650 G2 Notebook PC
HP ProBook 645 G2 Notebook PC
HP ProBook 655 G2 Notebook PC
HP ProBook 450 G3 Notebook PC
HP ProBook 430 G3 Notebook PC
HP ProBook 440 G3 Notebook PC
HP ProBook 446 G3 Notebook PC
HP ProBook 470 G3 Notebook PC
HP ProBook 455 G3 Notebook PC
HP EliteBook 725 G3 Notebook PC
HP EliteBook 745 G3 Notebook PC
HP EliteBook 755 G3 Notebook PC
HP EliteBook 1030 G1 Notebook PC
HP ZBook 15u G3 Mobile Workstation
HP Elite x2 1012 G1 92829 Tablet
HP Elite x2 1012 G1 with Travel Keyboard
HP Elite x2 1012 G1 Advanced Keyboard
HP EliteBook Folio 1040 G3 Notebook PC
HP ZBook 17 G3 Mobile Workstation
HP ZBook 15 G3 Mobile Workstation
HP ZBook Studio G3 Mobile Workstation
HP EliteBook Folio G1 Notebook PC