Votre ordinateur HP pourrait être doté d’un logiciel espion – UPDATE

By | May 12, 2017

 

Un pilote audio installé sur certains modèles d’ordinateurs de marque HP possède une fonctionnalité qui pourrait être bien décrite de keylogger ou d’enregistreur de frappe.
Cette découverte a été réalisée par modzero, une firme de sécurité suisse.

Le keylogger a été découvert dans les fichiers des versions 1.0.0..46 et antérieures du pilote Conexant HD Audio Driver. Ce pilote vient préinstallé sur certains modèles HP. Le fichier responsable de la sauvegarde des frappes de clavier de l’utilisateur est MicTray64.exe (C:\Windows\System32\mictray.exe).
Une tâche liée au démarrage de ce fichier à chaque nouvelle session sur la machine est enregistrée dans le Gestionnaire de Tâche.

Ce fichier est à l’affût de toutes les frappes de l’utilisateur afin de lui servir des fonctions spéciales (le microphone, le muet) liées à certains raccourci-claviers.
Le réel problème vient du fait que l’exécutable enregistre toutes les frappes dans un autre fichier local: C:\users\public\mictray.log.

Lorsque ce log n’existe pas ou si son chemin d’accès n’est pas disponible, toutes les frappes de l’utilisateur sont passées à une API locale nommée OutputDebugString.

Le fichier log mictray.log pose un véritable problème de confidentialité dans la mesure où toute personne qui a un accès physique à l’ordinateur pourrait également accéder aux informations personnelles qu’il contient c’est à dire les mots de passe de l’utilisateur, ses conversations, ses urls visitées et bien plus.
De même, ce log reste à la merci des logiciels malveillants.

Le pilote audio est installé sur ces 28 modèles HP:

HP EliteBook 820 G3 Notebook PC
HP EliteBook 828 G3 Notebook PC
HP EliteBook 840 G3 Notebook PC
HP EliteBook 848 G3 Notebook PC
HP EliteBook 850 G3 Notebook PC
HP ProBook 640 G2 Notebook PC
HP ProBook 650 G2 Notebook PC
HP ProBook 645 G2 Notebook PC
HP ProBook 655 G2 Notebook PC
HP ProBook 450 G3 Notebook PC
HP ProBook 430 G3 Notebook PC
HP ProBook 440 G3 Notebook PC
HP ProBook 446 G3 Notebook PC
HP ProBook 470 G3 Notebook PC
HP ProBook 455 G3 Notebook PC
HP EliteBook 725 G3 Notebook PC
HP EliteBook 745 G3 Notebook PC
HP EliteBook 755 G3 Notebook PC
HP EliteBook 1030 G1 Notebook PC
HP ZBook 15u G3 Mobile Workstation
HP Elite x2 1012 G1 Tablet
HP Elite x2 1012 G1 with Travel Keyboard
HP Elite x2 1012 G1 Advanced Keyboard
HP EliteBook Folio 1040 G3 Notebook PC
HP ZBook 17 G3 Mobile Workstation
HP ZBook 15 G3 Mobile Workstation
HP ZBook Studio G3 Mobile Workstation
HP EliteBook Folio G1 Notebook PC

Il est aussi retrouvé dans les systèmes d’exploitation suivants:

Microsoft Windows 10 32-Bit
Microsoft Windows 10 64-Bit
Microsoft Windows 10 IOT Enterprise 32-Bit (x86)
Microsoft Windows 10 IOT Enterprise 64-Bit (x86)
Microsoft Windows 7 Enterprise 32 Edition
Microsoft Windows 7 Enterprise 64 Edition
Microsoft Windows 7 Home Basic 32 Edition
Microsoft Windows 7 Home Basic 64 Edition
Microsoft Windows 7 Home Premium 32 Edition
Microsoft Windows 7 Home Premium 64 Edition
Microsoft Windows 7 Professional 32 Edition
Microsoft Windows 7 Professional 64 Edition
Microsoft Windows 7 Starter 32 Edition
Microsoft Windows 7 Ultimate 32 Edition
Microsoft Windows 7 Ultimate 64 Edition
Microsoft Windows Embedded Standard 7 32
Microsoft Windows Embedded Standard 7E 32-Bit

Comment supprimer le keylogger MicTray64 ?

Voici les instructions pour détecter le keylogger:

1-Ouvrez le gestionnaire de tâche, puis vérifiez l’exécution d’un processus nommé mictray.exe, puis arrêtez-le.
2- Naviguez vers C:\Windows\System32\ puis déplacez le fichier mictray.exe vers le bureau.
3- vérifiez que le fichier C:\Windows\System32\mictray.log existe. S’il existe déplacez le également vers le bureau.
4-Consultez le fichier. Si vous constatez certaines informations personnelles telles que des logins de connexion, changez ces informations immédiatement dans vos comptes.

Après ces actions, le keylogger ne devrait plus être actif sur votre système.
Les matériels utilisant le même pilote pourraient également inclure cette menace. Cependant, aucune confirmation n’a été divuguée par les chercheurs pour l’instant.

UPDATE

HP a rendu disponible une mise à jour pour supprimer ce méchanisme d’enregistreur de frappe.
La mise à jour atteindra les utilisateurs via Windows Update. Un correctif a été fourni hier pour les modèles de 2016 et un autre sera disponible aujourd’hui pour les modèles qui datent de 2015.
Le fichier est également disponible sur ce lien. Pour plus d’informations sur la mise à jour, prière visiter ce lien.

Source :  Modzero.ch

mdestroy

Leave a Reply

Your email address will not be published. Required fields are marked *