Portables HP : un keylogger enregistre en clair les frappes du clavier, un correctif arrive
Des champions du monde !
En bundle dans certaines machines HP se trouve un keylogger qui enregistre vos frappes dans un fichier texte. Cette brèche de sécurité serait la conséquence d'une « négligence » et HP annonce qu'un correctif est en cours de déploiement. Cette situation appelle à la prudence pour les personnes concernées.
Dans le domaine de la sécurité informatique, les risques sont nombreux. Parfois, la faute incombe aux utilisateurs, par exemple avec des mots de passe bien trop simples. D’autres, aux fabricants et/ou éditeurs, et le client n'y peut alors pas grand-chose. C'est justement le cas avec certains ordinateurs portables provenant de chez Hewlett-Packard.
Un keylogger qui enregistre toutes les frappes... dans un fichier texte
La société suisse Modzero, spécialisée dans la sécurité informatique, explique en effet que le fabricant livre des PC avec un keylogger installé. Pour rappel, il s'agit d'un programme qui intercepte toutes les frappes effectuées sur le clavier. Ici, il enregistre ces informations dans un fichier texte non chiffré : C:\Users\Public\MicTray.log. Cette brèche de sécurité porte la référence CVE-2017-8360.
Ainsi, n'importe quel programme ou personne y accédant peut récupérer l'ensemble des touches frappées par l'utilisateur, y compris les identifiants, les mots de passe et ses correspondances, peu importe qu'elles soient ou non chiffrées par la suite. Seule petite consolation dans ce déluge de mauvaises nouvelles, le fichier est remis à zéro à chaque lancement de la machine.
Comment peut-il se retrouver dans un pilote audio ?
Le keylogger s'installe avec le pilote audio Conexant HD proposé par HP sur son site (version 1.0.0.46 ou plus récent). Il est développé et signé par le fabricant des puces Conexant.
Notez qu'il est habituel que ce genre de programme surveille (mais en aucun cas enregistre) en continu certaines touches pressées par l'utilisateur afin de reconnaitre une combinaison particulière, par exemple pour ajuster le niveau du volume ou le couper. Ce sont les fameux raccourcis clavier présents sur quasiment tous les ordinateurs portables. Si cette pratique est courante, elle va beaucoup trop loin ici.
La liste des machines concernées est assez importante selon les chercheurs. On trouve ainsi des HP Elitebook, des ProBook et des ZBook. Les systèmes d'exploitation Windows 10 et Windows 7 sont touchés par ce problème. Tous les détails sont disponibles par ici. Pour le moment, ils n'ont pas trouvé de situation similaire chez d'autres fabricants.
Pas de mauvaises intentions pour les chercheurs, mais une négligence
Pour l'équipe à l'origine de cette découverte, « il n'y a aucune preuve indiquant que ce keylogger ait été implémenté intentionnellement ». « C'est une négligence des développeurs » ajoutent-ils, ce qui ne change évidemment rien à la gravité de la situation. On serait donc loin du cas SuperFish de Lenovo qui installait volontairement un adware et un certificat racine sur ses machines.
Toujours selon Modzero, il s'agirait d'un reste de fonction qui servait pour des tests, mais qui n'aurait jamais dû passer en production chez les clients. Une approche confirmée par le vice-président de HP Nash Told à plusieurs de nos confrères américains, dont Axios et ZDNet.com : « c'était quelque-chose qui était présent dans le processus de développement et qui aurait dû être retiré ».
Un correctif poussé via Windows Update
Il ajoute qu'un correctif va être déployé aujourd'hui via Windows Update pour les PC de 2016 concernés, tandis qu'il faudra attendre demain pour les machines de 2015. Le patch sera également directement disponible sur le site du fabricant.
Le pousser via le système de mise à jour de Windows est un bon point, le correctif pouvant ainsi être déployé plus rapidement sur un grand nombre de machines. S'il avait fallu en effet passer par le site du fabricant, de nombreux clients seraient certainement passés à côté.
Pensez à faire le ménage !
En attendant, il est possible de prendre des mesures afin de contourner le problème. Selon les chercheurs, il suffit de supprimer ou renommer les fichiers C:\Windows\System32\MicTray64.exe ou C:\Windows\System32\MicTray.exe (ce qui peut causer des problèmes avec la partie audio bien évidemment). Pensez également à supprimer le fichier C:\Users\Public\MicTray.log où sont enregistrées les frappes du clavier.
Si vous avez effectué des sauvegardes régulières de l'intégralité de votre machine, sachez que ce fichier de log sera également présent, avec l'ensemble des messages saisis durant la journée. Il est donc également recommandé de le supprimer.
Comme toujours en pareille situation où vos mots de passe peuvent être compromis, il est recommandé de les changer afin d'éviter toute mauvaise surprise par la suite. Pour rappel, nous avons consacré un dossier sur ce sujet et sur celui des gestionnaires :
Commentaires (66)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 12/05/2017 à 16h27
Le 12/05/2017 à 16h45
D’accord, merci pour l’info :)
L’idéal serait des autorisations façon Android comme ceci :
“L’application xx demande à accéder à certaines touches du clavier” (avec la possibilité de voir le détail)
Et
“L’application xx demande à accéder à la totalité du clavier” (pour les traitements de texte par exemple)
Le 12/05/2017 à 18h06
Le 13/05/2017 à 13h20
L’un fait dans les champis, l’autre est passé du coté obscur de la force?
" />
patapé, WE toussa…
Le 14/05/2017 à 10h17
Je regrette d’avoir acheté une imprimante HP il y a queques temps 2-3 ans, plutôt qu’une canon au même prix de meilleure qualité, car elle installe une floppée de logiciels et demande de nombreuses infos personnelles. J’en suis devenu parano envers tout ce qui concerne HP me disant qu’il y avait des spywares. J’aimerai bien savoir si il y a des infos sur la politique d’HP à ce niveau.
Le 17/05/2017 à 15h13
on peu désactiver dans les paramètres la collecte des données (web,cloud,ip…) et ne pas installer les outils intrusifs.
Le 12/05/2017 à 10h16
Le 12/05/2017 à 10h17
HP : High sPy
Le 12/05/2017 à 10h20
Tant que le log reste sur le PC et que l’info n’est pas connue, le risque reste modéré. Maintenant que c’est dévoilé, la chasse est ouverte. 
" />
Du coup, j’ai check quelques PC du parc sur des modèles concernés, 820 et 840 G3 : Nada. Visiblement, déployer les pilotes avec VMware à des avantages que je connaissais pas…
Le 12/05/2017 à 10h20
oups, c’est balo ^^
Le 12/05/2017 à 10h22
Le 12/05/2017 à 10h25
:facepalm: HP
Edit : le smiley a disparu ?
Le 12/05/2017 à 10h35
C’est une sortie du logiciel, il y a donc une exigence d’interface.
Toutes les exigences sont revues en analyse de risque.
Tous les risques majeurs sont réduits par des actions correctives.
Toutes les actions correctives sont vérifiées.
CQFD
Le 12/05/2017 à 10h37
+1
" />
RegisterHotKey function: Defines a system-wide hot key.
Le 12/05/2017 à 10h40
Le 12/05/2017 à 10h41
“Et Roger, rassure moi on a viré les keyloggers des pilotes audio avant de vendre nos portables?”
“On a des keyloggers dans les pilotes audio? Pourquoi?”
“Pourquoi pas?”
Le 12/05/2017 à 10h43
+2
On sait si la MAJ par windows update ca virer ce fichier log ?
Le 12/05/2017 à 10h51
+1
mais ça c’est la théorie et comme tout le monde le sait il y a un monde entre théorie et pratique.
Il suffit que cette sortie soit simplement un test de debug pour voir que le dev choppait bien tous les appuis clavier donc non spécifié et puis vite oublié et laissé tel quel.
Et puis les applications grand public ne passe que rarement par ce processus d’analyse de risque et de vérification car coute cher en temps.
Enfin bref je reste quand même assez stupéfait et cela montre bien l’hygiène de code du dev. Il lui suffisait de mettre un #if debug avant et basta plus de sortie en release, trop dur sans doute cela doit prendre au moins 2s.
Le 12/05/2017 à 10h51
pire: il n’a jamais existé
" />
Le 12/05/2017 à 11h05
Le 12/05/2017 à 11h08
non pas de code mort regarde bien j’ai mis #if donc option de compilation donc code non présent si l’option de compilation n’est pas active.
Le 12/05/2017 à 11h09
Le 12/05/2017 à 09h52
Et les tests QA c’est pas pour les chiens ! 
" />
Le 12/05/2017 à 09h53
Faut virer le stagiaire !
Le 12/05/2017 à 09h55
Je reste sans voix !
Qu’un pilote audio puisse lire tous les appuis touches est effarant.
Qu’il demande à l’OS de lui indiquer certains appuis touches ne me poserait pas de problème mais qu’il voit tout et fasse le tri lui-même est une aberration d’architecture de l’OS.
Le 12/05/2017 à 09h55
Ben mon cochon …
" />
" />
Ce sera quoi leur excuse cette fois ci : un coup du monstre du loch ness ou d’un blonde intelligente ?
(Petite note : c’est juste une plaisanterie de ma part et je ne pense pas ce que j’écris !)
Le 12/05/2017 à 09h56
Comment fais-tu concrètement pour voir ça en test QA ?
Le 12/05/2017 à 10h02
Le 12/05/2017 à 10h03
//Delete before production.
" />
Le 12/05/2017 à 10h04
C’est de toute beauté, vraiment.
Le 12/05/2017 à 10h07
Ca set le bout de code “for debugging only” qui est resté dans la release, surtout
Le 12/05/2017 à 10h07
HP, winner du jour.
et sinon Keyscrambler is your friend!
Le 12/05/2017 à 10h11
“il n’y a aucune preuve indiquant que ce keylogger ait été implémenté intentionnellement” mais oui …
Le 12/05/2017 à 10h12
:facepalm:
Le 12/05/2017 à 12h01
Le 12/05/2017 à 12h04
Sur mon EliteBook 850 G3 (qui est dans la liste) du taf, pareil: j ai le fichier, mais il est vide.
Le pilote connexant est en 9.0.98.0 (11/08/2016)
Après, je venais de faire un windows update avant de lire la news, j’ai peut etre eu le fix ? quelqu’un connait le KB ?
Le 12/05/2017 à 12h05
Le 12/05/2017 à 12h08
Le 12/05/2017 à 12h11
Oups, je ne l’ai pas lu et comme il n’a pas édité son message, c’est là depuis le début.
" />
Le 12/05/2017 à 12h16
Merci de la précision, mais je n’ai fait que reprendre les termes de l’article de NXI qui est donc approximatif :
Le keylogger se trouve dans un pilote audio Conexant HD proposé par HP son site
Cela ne change rien au reste de mon message. Qu’un logiciel puisse lire tous les appuis touches si ce n’est pas un logiciel de l’OS est un problème. Seule l’appli qui a le focus devrait pouvoir le faire.
Le 12/05/2017 à 12h22
Le 12/05/2017 à 12h32
Le 12/05/2017 à 12h35
Le 12/05/2017 à 12h47
Le 12/05/2017 à 12h57
Le 12/05/2017 à 13h38
Ca sent le bout de code de debugging fait à l’arrache que le mec à oublié de virer…..
Comment ca craint >___<
Le 12/05/2017 à 13h57
C’est marrant parce que bossant moi aussi dans l’industrie pharma, mais côté production/chimie, l’approximation et l’à peu près ont presque force de loi.
Le 12/05/2017 à 14h24
Le 12/05/2017 à 14h27
Le 12/05/2017 à 16h09
Il faudrait plutôt que Windows (ou l’OS en général) surveille le clavier et transfère aux applications (et dans le cas présent, l’appli gérant le son serait sollicitée uniquement pour telle ou telle combinaison de touche)
" />
Et une gestion des autorisations comme sur smartphone, pour reprendre l’idée plut haut
Le 12/05/2017 à 11h09
Le 12/05/2017 à 11h12
Le 12/05/2017 à 11h13
Le 12/05/2017 à 11h14
Le 12/05/2017 à 11h16
J’ai bien le fichier “MicTray.log” sur mes HP Elitebook sous W7 mais ils sont vides malgré les frappes au clavier. Les pilotes connexant du master sont surement trop ancien.
Le 12/05/2017 à 11h19
Le 12/05/2017 à 11h26
Enfin, en tous cas c’est bien laid ce keylogger. Quand je rentre au bureau, je regarde ça, histoire de ma marrer.
Le 12/05/2017 à 11h26
J’ajouterai que c’est le cas dans tout code critique (aérospatial, nucléaire et du coup pharma). Par exemple pour l’aéro, tu as la norme DO178 qui t’impose des règles très strictes, et au plus haut niveau de criticité (ex : lois de commandes d’un avion), tu dois être capable de justifier aux autorités de certifications chaque ligne de ton code et de tracer les exigences.
Le 12/05/2017 à 11h28
Merci pour vos explications :)
Le 12/05/2017 à 11h44
Laptop du boulot dans la liste des modèles impactés.
Fichier présent mais aucun des deux POC ne remontent quelque chose.
Le 12/05/2017 à 11h47
La DO178 est une norme aviation.
Le spatial, le nucléaire et le médical ont d’autres normes.
Le 12/05/2017 à 11h48
C’est poutant le cas pour celui-ci. D’un coté, sa montre un peu que c’est surement une erreur.
Le 12/05/2017 à 11h51
Le 12/05/2017 à 11h51
Le 12/05/2017 à 11h55
Le 12/05/2017 à 12h00