Nous joindre par : 0890 170 001*

Tracer Absolute Computrace

En février dernier, nous vous parlions dans les colonnes de l’ancienne version de zataz.com (retrouvez les archives depuis 1996 ICI) d’Absolute Computrace. A l’époque, nous vous révélions comment l’équipe de chercheurs en sécurité de Kaspersky Lab avait dévoilé les faiblesses d’implémentation du logiciel antivol commercialisé par Absolute Software. Un outil qui transforme un précieux outil de protection en un puissant instrument de cyberattaques. L’attaque se focalise sur l’agent Absolute Computrace résidant dans le firmware (ROM BIOS) de modèles récents de PC portables ou de bureau. En effet, cette configuration laisse aux attaquants libre accès aux ordinateurs de millions d’utilisateurs.

La principale motivation de cette étude a été la découverte d’un agent Computrace s’exécutant sans autorisation préalable sur plusieurs ordinateurs personnels de chercheurs de Kaspersky Lab ou machines de la société. Si Computrace est un logiciel développé par Absolute Software, certains utilisateurs affirment ne l’avoir jamais installé ou activé sur leur système, voire en ignorer totalement l’existence. La plupart des logiciels préinstallés peuvent être supprimés ou désactivés par l’utilisateur, or Computrace est conçu pour résister à un nettoyage du système et même à un remplacement du disque dur.

L’utilisateur peut prendre par erreur Computrace pour un logiciel malveillant. En effet, il recourt à de nombreuses techniques couramment employées par les malwares modernes, destinées à empêcher le débogage et la rétro-ingénierie ; injecter d’autres processus dans la mémoire ; établir des communications secrètes ; modifier des fichiers systèmes sur le disque ; crypter des fichiers de configuration ou encore extraire un exécutable Windows du firmware (BIOS). « Des individus disposant de la puissance nécessaire pour intercepter les communications sur les fibres optiques peuvent potentiellement pirater des ordinateurs sur lesquels fonctionne Absolute Computrace. Ce logiciel peut servir à implanter des spywares », avertit Vitaly Kamluk, chercheur principal en sécurité au sein de l’équipe internationale de chercheurs et d’analystes (GReAT) de Kaspersky Lab. « Nous estimons qu’Absolute Computrace est actif sur plusieurs millions d’ordinateurs, et ce peut-être à l’insu d’un grand nombre d’utilisateurs. Qui a des raisons d’activer Computrace sur toutes ces machines ? Sont-elles surveillées par des inconnus ? Il y a là un mystère qu’il nous faut éclaircir. »

Capture

150.000 machines plombées

L’agent Computrace fonctionnerait sur les machines d’environ 150.000 utilisateurs. Le nombre total d’utilisateurs chez qui l’agent Computrace est activé est estimé à plus de 2 millions. Le doute subsiste quant à la proportion de ces utilisateurs qui sont au courant de la présence de Computrace sur leur système. La majorité de ces ordinateurs se trouvent aux États-Unis et en Russie. Le protocole réseau utilisé par le logiciel Computrace Small Agent offre des fonctionnalités de base pour l’exécution de code à distance. Ce protocole n’exige ni cryptage ni authentification du serveur distant, ce qui crée de multiples possibilités d’attaques télécommandées dans un environnement réseau hostile.

Tracer un traceur sachant tracer

Bref, un logiciel qui pourrait se retourner contre ses utilisateurs. Jean-Pierre Lesueur, un informaticien et chercheur en sécurité informatique propose un outil qui détecte, si oui ou non, votre machine est en danger face à l’utilisation malveillante de Computrace. Baptisé Phrozen Software Computrace Spyware Detector, en quelques secondes, vous saurez si votre machine et votre vie privé sont en danger.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr - Journaliste - Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. En savoir plus : https://www.damienbancal.fr

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.