Le diable se cache dans les détails. Dans les keyloggers aussi ? C'est en tout cas ce que l'on peut penser à la lumière de la découverte faite par les chercheurs en sécurité de la société suisse ModZero. Ces derniers viennent en effet de publier un article révélant l'existence, depuis 2015, d'un programme logé dans un pilote audio fourni par défaut dans des PC HP. L'outil n'a pas été conçu par le poids-lourd informatique mais par l'un de ses partenaires, à savoir le fabricant de puces audio Conexant. « Est-ce que HP préinstalle un spyware ? HP est-il lui-même victime d'un logiciel de backdoor développé par un éditeur tiers derrière son dos ? La responsabilité dans cette affaire est incertaine car le logiciel est proposé par HP dans un package de pilotes pour ses propres terminaux, sur son site web », avance prudemment ModZero.
Il n'empêche, cette découverte a de quoi surprendre. Le programme MicTray.exe qui a été découvert dans ce pilote audio semble avoir été spécialement conçu pour les PC HP, et il est capable d'intercepter toutes les entrées clavier. « En réalité, le but du logiciel est de reconnaître si une touche spéciale a été pressée ou relâchée. Au lieu de cela, cependant, le développeur a introduit un certain nombre de fonctions de diagnostic et de débogage pour s'assurer que toutes les frappes de touches sont diffusées via une interface de débogage ou écrites dans un fichier journal dans un répertoire public sur le disque dur », explique ModZero. « Ce type de débogage transforme efficacement le pilote audio en un logiciel espion de keylogging. Sur la base de la méta-information des fichiers, ce keylogger existe déjà sur les ordinateurs HP depuis au moins Noël 2015. »
HP décline toute responsabilité
Mais ce n'est pas tout puisqu'il semble que ce programme a vu ses fonctions étendues au fil du temps. La plus récente version de MicTray.exe, V1.0.0.46 implémente le log de toutes les touches tapées dans un répertoire public C:\Users\Public\MicTray.log. « Bien que le fichier soit écrasé après chaque connexion, le contenu est susceptible d'être facilement surveillé en exécutant des processus ou des outils d'enquête. Si vous effectuez régulièrement des sauvegardes incrémentielles de votre disque dur - que ce soit dans le cloud ou sur un disque dur externe -, un historique de toutes les frappes des dernières années pourrait probablement être trouvé dans vos sauvegardes », prévient ModZero.
Rien ne permet à ce stade de montrer que la présence de ce keylogger ait été intentionnelle, et peut être dû à une certaine négligence de développement. A ce stade, ni HP Inc ni Conexant Systems n'ont souhaité apporter de réponse à ModZero. HP a refusé toute responsabilité dans cette affaire.
Commentaire