HP publie des correctifs en urgence pour certains laptops affectés par le pilote enregistrant les frappes
D'autres correctifs sont prévus aujourd'hui

Le , par Olivier Famien, Chroniqueur Actualités
Il y a quelques jours, l’entreprise de recherche Modzero a publié les résultats de sa découverte portant sur une faille ouverte par des actions réalisées par le pilote Conexant HD audio préinstallé sur une série d’ordinateurs portables (Laptop en anglais) HP. Selon les déclarations de l’entreprise de sécurité, à chaque connexion au système d’exploitation Windows, le pilote Conexant HD audio qui est programmé pour démarrer automatiquement lance un composant nommé MicTray64.exe pour enregistrer toutes les frappes du clavier (Keylogger en anglais) réalisées par l’utilisateur et effectue des actions comme activer ou désactiver le micro au cas où les raccourcis appropriés étaient saisis par l'utilisateur.

Le problème est que ces raccourcis clavier sont enregistrés dans un journal qui n’est pas chiffré en sorte que toute personne bienveillante ou malveillante qui a accès à ce journal situé à l'emplacement C:\Users\Public\MicTray.log peut facilement récupérer les mots de passe saisis par l’utilisateur ainsi que plusieurs autres informations contenues dans ce fichier.

L’entreprise de sécurité explique également que si le journal n’existe pas ou que le réglage n’est pas disponible dans le registre Windows, tous les mots de passe, recherches sur le web, informations de carte de crédit et bien d’autres choses saisis avec le clavier par l’utilisateur sont passés à l’API OutputDebugString à des fins de débogage. Aussi toute personne qui a accès à cette API peut capturer les frappes du clavier sans éveiller de soupçons du côté de l’utilisateur.

En outre, tous les mots de passe et autres informations saisis au clavier peuvent être récupérées par le pilote Conexant et exposés à n’importe quel Framework qui a accès au journal ou à l’API MapViewOfFile() utilisée par le pilote HP. Si un acteur malveillant a accédé à cette API, il aura un accès complet aux informations saisies par l'utilisateur. Et pour ce qui concerne le journal, il faut savoir qu’à chaque fois que l’ordinateur se connecte, le fichier de la session antérieure est écrasé pour enregistrer de nouvelles informations provenant du clavier. Mais, même là encore, nous avons un souci, car il est possible à de nombreuses personnes aujourd’hui de restaurer des fichiers supprimés.

Modzero explique qu’il « n’y a aucune preuve que ce keylogger a été intentionnellement implémenté. Évidemment, c’est une négligence des développeurs — ce qui rend le logiciel non moins nuisible ». Aussi, vu l’urgence du problème, HP n’est pas resté insensible après la divulgation de cette faille et depuis hier, des correctifs sont disponibles pour certains ses modèles d’ordinateurs portables concernés par ce problème. D’autres correctifs devraient être disponibles aujourd’hui pour tous les autres modèles vendus en 2015 et 2016 et qui comprennent les ordinateurs EliteBook, ProBook et ZBook.


Ces correctifs peuvent être appliqués en utilisant directement Windows Update pour mettre à jour son système d’exploitation ou en téléchargeant le Softpak sur la plateforme HP pour mettre à jour les pilotes même si l’on est déconnecté. En plus de la publication de ces correctifs, Mike Nash, le Chef de la technologie et vice-président de HP a tenu à apporter des précisions et souligne que les fonctionnalités de keylogger ont été créées par Conexant et non HP et cela pendant le processus de développement afin d'aider à déboguer les problèmes audio. Il souligne qu’ajouter « du code de débogage est une partie normale du processus de développement et ce code est censé être supprimé et ne jamais être inclus dans un produit disponible dans le commerce. Malheureusement, dans ce cas, Conexant n’a pas supprimé le code. Nous n’avons certainement jamais eu l’intention d’inclure ce code dans les produits expédiés ».

Le représentant de l’entreprise HP conclut en affirmant que « bien que HP n’ait pas créé le pilote, notre travail consiste à garder le client en sécurité même lorsque le problème concerne le code tiers. Nous avons appris de cette situation et travaillerons avec nos partenaires afin de vérifier plus en profondeur que le code de débogage est supprimé de leur logiciel avant sa publication finale ». « Cela dit, nous continuerons également à travailler avec la communauté du domaine de la sécurité pour être informé au cas où des problèmes surviennent, et ensuite travailleront pour s’assurer que nous pouvons sortir des correctifs de haute qualité auprès des clients le plus rapidement possible, tout comme nous le faisons pour ce cas ».

Télécharger les correctifs

Source : HP, Modzero

Et vous ?

Que pensez-vous de ces failles ? De quoi remettre en cause la sécurité sur les PC HP ?

Voir aussi

Windows : les pilotes audio Conexant HD préinstallés sur 28 modèles de laptops HP contiennent un keylogger, d'après la firme suisse modzero


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Gugelhupf Gugelhupf - Modérateur https://www.developpez.com
le 13/05/2017 à 18:28
Oh, ils vont "corriger" la pitite fafaille qu'ils ont introduit par erreur...

J'ai l'un de ces modèles HP. Si nous étions aux États-Unis, nous aurions pu nous regrouper pour attaquer HP en justice et même être dédommagé. En France nous n'avons pas cette culture de défendre nos intérêts et les grands ont toujours le dessus.
Avatar de NSKis NSKis - En attente de confirmation mail https://www.developpez.com
le 13/05/2017 à 21:17
J'espère que les spécialistes en communication de crise grâcement payés par HP auront droit à une petite prime supplémentaire: Réussir à faire passer un keylogger pour un simple bug, il fallait oser!!!

Avantage du bug: On fournit un correctif, pas besoin pour HP de s'expliquer sur le pourquoi d'un keylogger pour un pilote audio... Parce que là, pas de chance, ils ne peuvent pas utiliser le discours habituel: "On vous espionne, mais c'est pour améliorer le service"!!!
Avatar de TryExceptEnd TryExceptEnd - Membre confirmé https://www.developpez.com
le 13/05/2017 à 22:08
On est en 2017 et on nous parle d'un pilote de périphérique qui log en clair les frappes du clavier ???
Avatar de Aurelien.Regat-Barrel Aurelien.Regat-Barrel - Expert éminent https://www.developpez.com
le 14/05/2017 à 7:43
Si c'est Conexant le fautif, ça veut dire que y'a pas que les machines HP qui sont potentiellement concernées ? Des news là dessus ?

Pour ma part je les crois sincères sur le fait que c'est du mauvais travail de développeur et non une backdoor intentionnelle. C'est pas le driver qui est concerné mais la petite application qui tourne dans le systray afin de s'interfacer au driver, et qui installe probablement un hook standard Windows (WH_KEYBOARD). Et ça me surprend pas qu'une petite appli secondaire dans ce genre ait été négligée / confiée à un développeur junior.

Car des trucs crados qui traînent comme ça dans les programmes moi j'en ai croisé un certain nombre. Et pour moi la raison numéro un c'est la négligence / l'ignorance du management qui considère que les développeurs sont interchangeables / que y'a pas besoin d'encadrer les devs avec des personnes expérimentées et des processus rigoureux. Et dans le domaine de l'IoT / des objets connectés, on n'a pas fini d'en découvrir des perles de ce genre vu l'amateurisme qui y règne
Avatar de MikeRowSoft MikeRowSoft - Provisoirement toléré https://www.developpez.com
le 15/05/2017 à 9:37
Oh !!!! Pas mal celle là.
Tous est bien qui fini bien.
Cela étant, c'est étrange qu'il y est ces temps-ci autant de choses capable de vous empêcher de travailler en toutes sérénités.
Avatar de AstOz AstOz - Membre actif https://www.developpez.com
le 15/05/2017 à 11:37
Citation Envoyé par Aurelien.Regat-Barrel  Voir le message
Si c'est Conexant le fautif, ça veut dire que y'a pas que les machines HP qui sont potentiellement concernées ? Des news là dessus ?

Pour ma part je les crois sincères sur le fait que c'est du mauvais travail de développeur et non une backdoor intentionnelle. C'est pas le driver qui est concerné mais la petite application qui tourne dans le systray afin de s'interfacer au driver, et qui installe probablement un hook standard Windows (WH_KEYBOARD). Et ça me surprend pas qu'une petite appli secondaire dans ce genre ait été négligée / confiée à un développeur junior.

Car des trucs crados qui traînent comme ça dans les programmes moi j'en ai croisé un certain nombre. Et pour moi la raison numéro un c'est la négligence / l'ignorance du management qui considère que les développeurs sont interchangeables / que y'a pas besoin d'encadrer les devs avec des personnes expérimentées et des processus rigoureux. Et dans le domaine de l'IoT / des objets connectés, on n'a pas fini d'en découvrir des perles de ce genre vu l'amateurisme qui y règne

Je partage l'avis d'Aurélien, la majorité de ce genre de programmes sont souvent liés à un code pourri car baclé et non supervisé.
J'ajoute en exemple les injections SQL qui était possible sur FB lors de sa première année d'exploitation.
Avatar de CaptainDangeax CaptainDangeax - Membre actif https://www.developpez.com
le 16/05/2017 à 11:28
Il y a quelques années, j'ai eu à maintenir un parc de tours HP. J'ai donc chargé les drivers et je les ai sauvegardé sur mon NAS synology. La semaine suivante, après le passage de l'antivirus, tous les drivers avaient été mis en quarantaire. Etrange, non ?
Offres d'emploi IT
Ingénieur Avant-Vente confirmé (H/F)
SMILE - Rhône Alpes - Lyon (69000)
Ingénieur Développement logiciel H/F
Safran - Ile de France - Massy (91300)
Consultant ERP/WMS H/F
Page Personnel - Bretagne - Rennes (35000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil