Des portables HP ont un mouchard sous le clavier

Florian Innocente |

Un peu moins de 30 portables HP sont susceptibles de contenir un keylogger, un bout de code qui enregistre et stocke chacun des caractères frappés au clavier.

Modzero, une société suisse de consulting en sécurité a constaté la présence inexpliquée de ce mouchard sur quelques machines et ce sont au moins 28 modèles qui sont concernés — dans les gammes professionnelles de surcroît — EliteBook, ProBook, ZBook et Elite, avec Windows 7 et 10.

Le keylogger en question fait partie du pilote de la puce audio fournie à HP par l'entreprise américaine Conexant. À la base, le code est là pour réagir à l'utilisation de touches de fonction et de contrôle de la lecture. Cependant, au fil de révisions de ces pilotes, il s'est avéré qu'il contenait une interface de débogage qui enregistrait scrupuleusement la pression de toutes les touches, et pas des quelques-unes liées à l'audio.

Mail, identifiants, mots de passe, tout ce que l'utilisateur tape durant sa session est consigné dans un fichier aisément accessible et lisible. Ce fichier a beau être écrasé après chaque redémarrage, dans la théorie rien n'empêcherait un outil d'en récupérer discrètement le contenu. Dans la pratique, ce fichier se retrouve du coup dans les bagages des sauvegardes ou clones de son système que l'on peut effectuer. Les machines porteuses de la version problématique de ce pilote ont été commercialisées depuis 2015.

Modzero n'a obtenu aucune information ni explications d'HP et de Conexant. Cette découverte remonte au 28 avril, les deux entreprises en ont été averties dans la foulée de plusieurs manières. Dans l'intervalle, une mise à jour du pilote a aggravé la situation. La branche entreprise d'HP, sollicité en premier, a transmis l'information aux équipes sécurité du groupe mais aucun retour n'a eu lieu à ce jour.

Dans la fiche technique détaillant sa découverte, Modzero explique comment supprimer les fichiers incriminés.

avatar NAVY7GAS | 

À ben bravo alors là chapeau, le Fi(ll)on de l'informatique on l'a trouvé, ou le Volkswagen

Si c'est avéré-ré-ré leur image risque de se ternir à jamais , déjà que plus grand monde achète de pc, et s'ils en achètent c'est souvent une autre marque là ça va être la fin de la partie pour eux ; si c'est relié à des vols de données confidentielles ou de secrets industriels pour ce qui est des sociétés qui ont tout un parc informatique hP, c'est très grave et ça peut aller loin.
Histoire à suivre.

avatar pennylane | 

@NAVY7GAS

Vu ton niveau intellectuel tu ne risques pas d'aller trop loin.

avatar Crkm | 

Ça y est un bobo hipster s'est échappé de l'hôpital psychiatrique. Une fléchette tranquillisante et on le ramène dans sa chambre.

avatar Giloup92 | 

Donc tous les PC ayant une puce audio Conexant sont susceptibles d'être touchés, et pas seulement ceux d'HP ?

avatar RyDroid | 

C'est un pilote pour Windows qui pose problème, donc tout dépend du système d'exploitation et des potentielles modifications de HP.

avatar pennylane | 

A mon avis, tu n'iras pas loin, vu ton niveau mental!

avatar Cedricifanboy2 | 

Merde j'ai un probook! Y a une solution ou un patch pour que ça enregistré plus rien?

avatar Lubi974 | 

On oublie la marque !

avatar byte_order | 

L'OS suffira, vu que le problème vient d'un pilote logiciel...

avatar Lightman | 

Se réserver des voies d'accès dérobées, c'est grisant pour beaucoup.
-> On essaye,
si personne ne découvre, on s'enhardit ;
si quelqu'un se plaint, on fait la sourde oreille ;
si la rumeur enfle, on plaide une erreur ou un oubli ;
on corrige… jusqu'à la prochaine fois.

On verra si la théorie se confirme dans les prochains jours ?

Écœurant !

avatar byte_order | 

pas certain que cela ne soit pas plus bête que ça : un developeur sûrement payé au lance pierre par Conexant a rencontré un blem dans la mise au point de son pilote et a écrit ce vilain mode de debug consistant a écrire des trucs dans un fichier et a oublié de le retirer avant d'envoyer en release parce que ce soir là ze chef lui a gentiment hurlé un "p'tain c'est quoi de b*rdel, je veux une release pour ce probleme de non reconnaissance de certaines touches multimedia pour hier sinon c'est la porte !".

Et hop.

C'est beaucoup moins rare qu'on peut le croire.

Mais évidement, c'est moins marrant que la version complotiste, alors...

avatar Biking Dutch Man | 

@byte_order

Ça sent le vécu, je compatis!

avatar xDave | 

@byte_order

Laissez-nous deviner il bosse dans une SSII -ou ESN comme on dirait de nos jours- mais le Dev est parti depuis lurette ... pas de ma faute en conexant de cause pourtant.

avatar byte_order | 

... ou p'tet que c'est un sous-traitant offshore qui a fait ce pilote pour le compte de Conexant, hein...

avatar reborn | 

Surement un bug ahah ?

avatar IceWizard | 

Dans la mesure où le système contenait "juste" un enregistreur de touches, sans mécanisme d'envoi vers l'extérieur, que le fichier n'étais pas caché (c:\user\public\MicTray.log), et qu'il était effacé au démarrage, je crois que l'explication donné par HP est la bonne : un outil de test destiné à un usage interne, diffusé à l'extérieur par erreur. Par expérience je sais que l'incompétence est plus fréquent que la conspiration maladroite.

Ce qui ne veut pas dire que cette erreur n'a pas été utilisé par des malandrins, ou ne le sera pas dans les jours suivants. Genre un mari jaloux apprenant l'info et en profitant pour récupérer les mots de passes de son épouse, avant de faire la mise à jour.

avatar en ballade | 

Théorie du complot : CIA et NSA ont obligé ce mouchard sur tous les PCF (mac inclus pour les fans)

avatar macfredx | 

@en ballade

"PCF"

Parti Communiste Français ??? ?

avatar en ballade | 

de quoi parles tu?

avatar Ginger bread | 

HP creuse sa tombe

avatar zoubi2 | 

:-(

avatar rolmeyer (non vérifié) | 

C'est clairement une maladresse. Quand on voit comment Sutxnet se comporte, ou même ds trucs plus basiques, là on a truc pas caché et qui s'efface, c'est clairement un bout de code de test qui traîne. Ça ne DOIT pas être là et HP est à blâmer, mais on est loin des saletés que Lenovo a collé de son plein gré.

avatar xDave | 

@rolmeyer

Je loue ta naïveté

avatar madaniso | 

Je pense qu'ils le font tous, Apple compris.

avatar zoubi2 | 

MacG serait-il un repaire d'Illuminati ??

avatar prommix | 

"Dans la fiche technique détaillant sa découverte, Modzero explique comment supprimer les fichiers incriminés."

Gné!... Je ne suis pas un expert donc je ne comprends pas ce que je lis sur ce lien.

CONNEXION UTILISATEUR