Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Windows : les pilotes audio Conexant HD préinstallés sur 28 modèles de laptops HP contiennent un keylogger
D'après la firme suisse modzero

Le , par Patrick Ruiz

24PARTAGES

14  0 
Des pilotes audio (pour les systèmes d’exploitation Windows) préinstallés sur certains laptops de marque HP contiennent un composant qui enregistre les saisies au clavier des utilisateurs et les sauvegarde vers un fichier local facilement accessible par une tierce personne ou un malware. Des chercheurs en sécurité ont fait cette découverte en date du 28 avril et l’ont mise en ligne hier.

D’après ce que rapportent les chercheurs, les pilotes audio Conexant High-Definition (HD) préinstallés sur certains laptops HP contiennent, depuis l’année 2015 au moins, un composant nommé MicTray64.exe (cf. image ci-dessous) qui a été développé pour permettre aux utilisateurs de réaliser des actions comme couper le son en provenance de l’entrée microphone ou d’agir sur la diode électroluminescente qui signale qu’un enregistrement est en cours. Conexant a prévu que l’utilisateur puisse réaliser ces actions en pressant les touches de fonctions spéciales du clavier.


Le rôle du composant MicTray64.exe est de détecter la pression ou non d’une touche de fonction spéciale au clavier et le cas échéant de déclencher l’action appropriée. Les développeurs lui ont cependant ajouté des fonctionnalités de diagnostic et de débogage qui impliquent l’enregistrement de toutes les saisies clavier et leur transfert vers une API de débogage ou leur écriture dans un fichier sur le disque dur. Dans sa version 1.0.0.31, le composant MicTray64.exe effectuait le transfert des saisies clavier enregistrées uniquement vers l’API de débogage Windows OutputDebugString. Sa version 1.0.0.46, plus récente, sauvegarde les saisies clavier de l’utilisateur par défaut dans le fichier local C:\Users\Public\MicTray.log ou fait usage de l’API de débogage OutputDebugString.

Le composant MicTray64.exe se comporte donc comme un keylogger, ce qui pose des problèmes de sécurité. En effet, comme le soulignent les chercheurs, un malware ou une tierce personne ayant accès à l’ordinateur portable peut copier le fichier de log. L’historique des touches pressées au clavier se retrouverait ainsi aux mains de tierces personnes, leur donnant la possibilité d’extraire mots de passe, URL visitées et d’autres informations importantes. De plus, d’après ce que rapportent les chercheurs, un attaquant peut aisément dérober les informations de saisie clavier via l’API OutputDebugString.

La version la plus récente de ces pilotes audio Conexant HD préinstallés sur certains laptops HP prend en charge 28 modèles (cf. image ci-dessous) et est disponible pour les systèmes d’exploitation Windows 10, Windows 7 et Windows Embedded. Aux possesseurs d’ordinateurs portables HP mentionnés, les chercheurs précisent que la seule présence du fichier MicTray64.exe ou MicTray.exe sur leur système est une preuve de la présence du keylogger. Ils recommandent de rechercher ces fichiers et de les supprimer ou les renommer pour empêcher le pilote audio de sauvegarder les saisies clavier.


Source : modzero

Et vous ?

Qu’en pensez-vous ?
Quelle autre solution préconisez-vous ?

Voir aussi :

Un malware subtilise les données de près de 50 000 cartes bancaires dans 11 pays, ChewBacca agit depuis bientôt trois mois
Des enregistreurs de frappes camouflés en chargeurs USB, le FBI alerte ses partenaires de l'industrie privée 15 mois après le début de KeySweeper

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de TryExceptEnd
Membre confirmé https://www.developpez.com
Le 13/05/2017 à 22:08
On est en 2017 et on nous parle d'un pilote de périphérique qui log en clair les frappes du clavier ???
2  0 
Avatar de Aurelien.Regat-Barrel
Expert éminent sénior https://www.developpez.com
Le 14/05/2017 à 7:43
Si c'est Conexant le fautif, ça veut dire que y'a pas que les machines HP qui sont potentiellement concernées ? Des news là dessus ?

Pour ma part je les crois sincères sur le fait que c'est du mauvais travail de développeur et non une backdoor intentionnelle. C'est pas le driver qui est concerné mais la petite application qui tourne dans le systray afin de s'interfacer au driver, et qui installe probablement un hook standard Windows (WH_KEYBOARD). Et ça me surprend pas qu'une petite appli secondaire dans ce genre ait été négligée / confiée à un développeur junior.

Car des trucs crados qui traînent comme ça dans les programmes moi j'en ai croisé un certain nombre. Et pour moi la raison numéro un c'est la négligence / l'ignorance du management qui considère que les développeurs sont interchangeables / que y'a pas besoin d'encadrer les devs avec des personnes expérimentées et des processus rigoureux. Et dans le domaine de l'IoT / des objets connectés, on n'a pas fini d'en découvrir des perles de ce genre vu l'amateurisme qui y règne
2  0 
Avatar de NSKis
En attente de confirmation mail https://www.developpez.com
Le 13/05/2017 à 14:01
Citation Envoyé par akoho Voir le message
Hum, ça fait bizarre, quand on lit des textes de ce genre et qu'il n'y a pas les mots: Russie, NSA, Wikileaks ou encore CIA dans la totalité de la page.
Avant l'ajout de mon commentaire bien entendu.
Je crois qu'il n'y a pas sujet à s'amuser de ce genre d'histoire qui démontre une fois de plus cette vilaine habitude que prennent de plus en plus les géants de l'informatique d'espionner les activités de leur clients!!!

Ces pratiques deviennent une vraie menace pour la société humaine en générale!!!
0  0 
Avatar de Gugelhupf
Modérateur https://www.developpez.com
Le 13/05/2017 à 18:28
Oh, ils vont "corriger" la pitite fafaille qu'ils ont introduit par erreur...

J'ai l'un de ces modèles HP. Si nous étions aux États-Unis, nous aurions pu nous regrouper pour attaquer HP en justice et même être dédommagé. En France nous n'avons pas cette culture de défendre nos intérêts et les grands ont toujours le dessus.
0  0 
Avatar de NSKis
En attente de confirmation mail https://www.developpez.com
Le 13/05/2017 à 21:17
J'espère que les spécialistes en communication de crise grâcement payés par HP auront droit à une petite prime supplémentaire: Réussir à faire passer un keylogger pour un simple bug, il fallait oser!!!

Avantage du bug: On fournit un correctif, pas besoin pour HP de s'expliquer sur le pourquoi d'un keylogger pour un pilote audio... Parce que là, pas de chance, ils ne peuvent pas utiliser le discours habituel: "On vous espionne, mais c'est pour améliorer le service"!!!
0  0 
Avatar de
https://www.developpez.com
Le 15/05/2017 à 9:37
Oh !!!! Pas mal celle là.
Tous est bien qui fini bien.
Cela étant, c'est étrange qu'il y est ces temps-ci autant de choses capable de vous empêcher de travailler en toutes sérénités.
0  0 
Avatar de AstOz
Membre averti https://www.developpez.com
Le 15/05/2017 à 11:37
Citation Envoyé par Aurelien.Regat-Barrel Voir le message
Si c'est Conexant le fautif, ça veut dire que y'a pas que les machines HP qui sont potentiellement concernées ? Des news là dessus ?

Pour ma part je les crois sincères sur le fait que c'est du mauvais travail de développeur et non une backdoor intentionnelle. C'est pas le driver qui est concerné mais la petite application qui tourne dans le systray afin de s'interfacer au driver, et qui installe probablement un hook standard Windows (WH_KEYBOARD). Et ça me surprend pas qu'une petite appli secondaire dans ce genre ait été négligée / confiée à un développeur junior.

Car des trucs crados qui traînent comme ça dans les programmes moi j'en ai croisé un certain nombre. Et pour moi la raison numéro un c'est la négligence / l'ignorance du management qui considère que les développeurs sont interchangeables / que y'a pas besoin d'encadrer les devs avec des personnes expérimentées et des processus rigoureux. Et dans le domaine de l'IoT / des objets connectés, on n'a pas fini d'en découvrir des perles de ce genre vu l'amateurisme qui y règne
Je partage l'avis d'Aurélien, la majorité de ce genre de programmes sont souvent liés à un code pourri car baclé et non supervisé.
J'ajoute en exemple les injections SQL qui était possible sur FB lors de sa première année d'exploitation.
0  0 
Avatar de CaptainDangeax
Membre éclairé https://www.developpez.com
Le 16/05/2017 à 11:28
Il y a quelques années, j'ai eu à maintenir un parc de tours HP. J'ai donc chargé les drivers et je les ai sauvegardé sur mon NAS synology. La semaine suivante, après le passage de l'antivirus, tous les drivers avaient été mis en quarantaire. Etrange, non ?
0  0 
Avatar de akoho
Membre régulier https://www.developpez.com
Le 12/05/2017 à 14:47
Hum, ça fait bizarre, quand on lit des textes de ce genre et qu'il n'y a pas les mots: Russie, NSA, Wikileaks ou encore CIA dans la totalité de la page.
Avant l'ajout de mon commentaire bien entendu.
3  5