Après l'affaire du keylogger caché dans un pilote audio en mai dernier, HP est pris la main dans le sac dans une autre affaire d'enregistreur de frappes. Cette fois, ce dernier a été dissimulé dans le pilote des pavés tactiles plusieurs centaines de ses PC portables vendus depuis 2012. Cette découverte a été faite par le chercheur en sécurité Michael Myng lors de la vérification du logiciel Synaptics pilotant le pavé tactile des ordinateurs du fournisseur.
Le bulletin d'alerte lancé par HP fait état « d'une vulnérabilité potentielle de sécurité » affectant tous les PC portables dotés « de certaines versions des drivers de pavé tactile Synaptics », équipant de très nombreux modèles de PC de la marque - 475 tout de même -, mais pas seulement. Maigre consolation : l'enregistreur de frappes n'était pas activé par défaut. Mais il n'en reste pas moins que cette vulnérabilité pouvait très facilement être exploitée par un administrateur disposant des droits d'accès à privilèges. « Pas plus Synaptics que HP n'ont accédé aux données clients résultant de ce problème », a précisé le fournisseur. HP a par ailleurs justifié à Michael Myng la présence de l'enregistreur de frappes en tant qu'outil de débogage.
Les gammes Spectre, Envy, Pavillon, Omen et Compaq touchées
Le bulletin de sécurité inclut également des mises à jour de drivers pour chaque portable HP embarquant ce keylogger et conseille à ses clients de les appliquer « dès que possible ». Parmi les modèles de PC portables concernés, on trouve des modèles des gammes Spectre, Envy, Pavillon, Omen et Compaq. Afin d'identifier les modèles de PC portables HP embarquant cet enregistreur de frappes, il faut soit jeter un oeil sur l'étiquette sous l'appareil ou bien le cas échéant, presser simultanément les touches Fn+Esc pour accéder à la fenêtre d'informations système HP.