
D’après ce que rapportent les chercheurs, les pilotes audio Conexant High-Definition (HD) préinstallés sur certains laptops HP contiennent, depuis l’année 2015 au moins, un composant nommé MicTray64.exe (cf. image ci-dessous) qui a été développé pour permettre aux utilisateurs de réaliser des actions comme couper le son en provenance de l’entrée microphone ou d’agir sur la diode électroluminescente qui signale qu’un enregistrement est en cours. Conexant a prévu que l’utilisateur puisse réaliser ces actions en pressant les touches de fonctions spéciales du clavier.
Le rôle du composant MicTray64.exe est de détecter la pression ou non d’une touche de fonction spéciale au clavier et le cas échéant de déclencher l’action appropriée. Les développeurs lui ont cependant ajouté des fonctionnalités de diagnostic et de débogage qui impliquent l’enregistrement de toutes les saisies clavier et leur transfert vers une API de débogage ou leur écriture dans un fichier sur le disque dur. Dans sa version 1.0.0.31, le composant MicTray64.exe effectuait le transfert des saisies clavier enregistrées uniquement vers l’API de débogage Windows OutputDebugString. Sa version 1.0.0.46, plus récente, sauvegarde les saisies clavier de l’utilisateur par défaut dans le fichier local C:\Users\Public\MicTray.log ou fait usage de l’API de débogage OutputDebugString.
Le composant MicTray64.exe se comporte donc comme un keylogger, ce qui pose des problèmes de sécurité. En effet, comme le soulignent les chercheurs, un malware ou une tierce personne ayant accès à l’ordinateur portable peut copier le fichier de log. L’historique des touches pressées au clavier se retrouverait ainsi aux mains de tierces personnes, leur donnant la possibilité d’extraire mots de passe, URL visitées et d’autres informations importantes. De plus, d’après ce que rapportent les chercheurs, un attaquant peut aisément dérober les informations de saisie clavier via l’API OutputDebugString.
La version la plus récente de ces pilotes audio Conexant HD préinstallés sur certains laptops HP prend en charge 28 modèles (cf. image ci-dessous) et est disponible pour les systèmes d’exploitation Windows 10, Windows 7 et Windows Embedded. Aux possesseurs d’ordinateurs portables HP mentionnés, les chercheurs précisent que la seule présence du fichier MicTray64.exe ou MicTray.exe sur leur système est une preuve de la présence du keylogger. Ils recommandent de rechercher ces fichiers et de les supprimer ou les renommer pour empêcher le pilote audio de sauvegarder les saisies clavier.
Source : modzero
Et vous ?


Voir aussi :

