IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Windows : les pilotes audio Conexant HD préinstallés sur 28 modèles de laptops HP contiennent un keylogger


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités
    Avatar de Patrick Ruiz
    Homme Profil pro
    Redacteur web
    Inscrit en
    Février 2017
    Messages
    1 813
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Redacteur web
    Secteur : Communication - Médias

    Informations forums :
    Inscription : Février 2017
    Messages : 1 813
    Points : 50 863
    Points
    50 863
    Par défaut Windows : les pilotes audio Conexant HD préinstallés sur 28 modèles de laptops HP contiennent un keylogger
    Windows : les pilotes audio Conexant HD préinstallés sur 28 modèles de laptops HP contiennent un keylogger
    D’après la firme suisse modzero

    Des pilotes audio (pour les systèmes d’exploitation Windows) préinstallés sur certains laptops de marque HP contiennent un composant qui enregistre les saisies au clavier des utilisateurs et les sauvegarde vers un fichier local facilement accessible par une tierce personne ou un malware. Des chercheurs en sécurité ont fait cette découverte en date du 28 avril et l’ont mise en ligne hier.

    D’après ce que rapportent les chercheurs, les pilotes audio Conexant High-Definition (HD) préinstallés sur certains laptops HP contiennent, depuis l’année 2015 au moins, un composant nommé MicTray64.exe (cf. image ci-dessous) qui a été développé pour permettre aux utilisateurs de réaliser des actions comme couper le son en provenance de l’entrée microphone ou d’agir sur la diode électroluminescente qui signale qu’un enregistrement est en cours. Conexant a prévu que l’utilisateur puisse réaliser ces actions en pressant les touches de fonctions spéciales du clavier.

    Nom : MicTray.png
Affichages : 16899
Taille : 103,0 Ko

    Le rôle du composant MicTray64.exe est de détecter la pression ou non d’une touche de fonction spéciale au clavier et le cas échéant de déclencher l’action appropriée. Les développeurs lui ont cependant ajouté des fonctionnalités de diagnostic et de débogage qui impliquent l’enregistrement de toutes les saisies clavier et leur transfert vers une API de débogage ou leur écriture dans un fichier sur le disque dur. Dans sa version 1.0.0.31, le composant MicTray64.exe effectuait le transfert des saisies clavier enregistrées uniquement vers l’API de débogage Windows OutputDebugString. Sa version 1.0.0.46, plus récente, sauvegarde les saisies clavier de l’utilisateur par défaut dans le fichier local C:\Users\Public\MicTray.log ou fait usage de l’API de débogage OutputDebugString.

    Le composant MicTray64.exe se comporte donc comme un keylogger, ce qui pose des problèmes de sécurité. En effet, comme le soulignent les chercheurs, un malware ou une tierce personne ayant accès à l’ordinateur portable peut copier le fichier de log. L’historique des touches pressées au clavier se retrouverait ainsi aux mains de tierces personnes, leur donnant la possibilité d’extraire mots de passe, URL visitées et d’autres informations importantes. De plus, d’après ce que rapportent les chercheurs, un attaquant peut aisément dérober les informations de saisie clavier via l’API OutputDebugString.

    La version la plus récente de ces pilotes audio Conexant HD préinstallés sur certains laptops HP prend en charge 28 modèles (cf. image ci-dessous) et est disponible pour les systèmes d’exploitation Windows 10, Windows 7 et Windows Embedded. Aux possesseurs d’ordinateurs portables HP mentionnés, les chercheurs précisent que la seule présence du fichier MicTray64.exe ou MicTray.exe sur leur système est une preuve de la présence du keylogger. Ils recommandent de rechercher ces fichiers et de les supprimer ou les renommer pour empêcher le pilote audio de sauvegarder les saisies clavier.

    Nom : Affected models.png
Affichages : 16201
Taille : 25,2 Ko

    Source : modzero

    Et vous ?

    Qu’en pensez-vous ?
    Quelle autre solution préconisez-vous ?

    Voir aussi :

    Un malware subtilise les données de près de 50 000 cartes bancaires dans 11 pays, ChewBacca agit depuis bientôt trois mois
    Des enregistreurs de frappes camouflés en chargeurs USB, le FBI alerte ses partenaires de l'industrie privée 15 mois après le début de KeySweeper
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre régulier
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Mars 2017
    Messages
    52
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : Madagascar

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : Mars 2017
    Messages : 52
    Points : 98
    Points
    98
    Par défaut
    Hum, ça fait bizarre, quand on lit des textes de ce genre et qu'il n'y a pas les mots: Russie, NSA, Wikileaks ou encore CIA dans la totalité de la page.
    Avant l'ajout de mon commentaire bien entendu.

  3. #3
    En attente de confirmation mail
    Femme Profil pro
    pape n'aimant pas les censeurs
    Inscrit en
    Janvier 2010
    Messages
    803
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Vatican

    Informations professionnelles :
    Activité : pape n'aimant pas les censeurs

    Informations forums :
    Inscription : Janvier 2010
    Messages : 803
    Points : 1 407
    Points
    1 407
    Par défaut
    Citation Envoyé par akoho Voir le message
    Hum, ça fait bizarre, quand on lit des textes de ce genre et qu'il n'y a pas les mots: Russie, NSA, Wikileaks ou encore CIA dans la totalité de la page.
    Avant l'ajout de mon commentaire bien entendu.
    Je crois qu'il n'y a pas sujet à s'amuser de ce genre d'histoire qui démontre une fois de plus cette vilaine habitude que prennent de plus en plus les géants de l'informatique d'espionner les activités de leur clients!!!

    Ces pratiques deviennent une vraie menace pour la société humaine en générale!!!

  4. #4
    Chroniqueur Actualités

    Homme Profil pro
    Webmaster
    Inscrit en
    Janvier 2014
    Messages
    1 089
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Webmaster
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2014
    Messages : 1 089
    Points : 26 554
    Points
    26 554
    Par défaut HP publie des correctifs en urgence pour certains laptops affectés par le pilote enregistrant les frappes
    HP publie des correctifs en urgence pour certains laptops affectés par le pilote enregistrant les frappes
    d’autres correctifs sont attendus aujourd’hui

    Il y a quelques jours, l’entreprise de recherche Modzero a publié les résultats de sa découverte portant sur une faille ouverte par des actions réalisées par le pilote Conexant HD audio préinstallé sur une série d’ordinateurs portables (Laptop en anglais) HP. Selon les déclarations de l’entreprise de sécurité, à chaque connexion au système d’exploitation Windows, le pilote Conexant HD audio qui est programmé pour démarrer automatiquement lance un composant nommé MicTray64.exe pour enregistrer toutes les frappes du clavier (Keylogger en anglais) réalisées par l’utilisateur et effectue des actions comme activer ou désactiver le micro au cas où les raccourcis appropriés étaient saisis par l'utilisateur.

    Le problème est que ces raccourcis clavier sont enregistrés dans un journal qui n’est pas chiffré en sorte que toute personne bienveillante ou malveillante qui a accès à ce journal situé à l'emplacement C:\Users\Public\MicTray.log peut facilement récupérer les mots de passe saisis par l’utilisateur ainsi que plusieurs autres informations contenues dans ce fichier.

    L’entreprise de sécurité explique également que si le journal n’existe pas ou que le réglage n’est pas disponible dans le registre Windows, tous les mots de passe, recherches sur le web, informations de carte de crédit et bien d’autres choses saisis avec le clavier par l’utilisateur sont passés à l’API OutputDebugString à des fins de débogage. Aussi toute personne qui a accès à cette API peut capturer les frappes du clavier sans éveiller de soupçons du côté de l’utilisateur.

    En outre, tous les mots de passe et autres informations saisis au clavier peuvent être récupérées par le pilote Conexant et exposés à n’importe quel Framework qui a accès au journal ou à l’API MapViewOfFile() utilisée par le pilote HP. Si un acteur malveillant a accédé à cette API, il aura un accès complet aux informations saisies par l'utilisateur. Et pour ce qui concerne le journal, il faut savoir qu’à chaque fois que l’ordinateur se connecte, le fichier de la session antérieure est écrasé pour enregistrer de nouvelles informations provenant du clavier. Mais, même là encore, nous avons un souci, car il est possible à de nombreuses personnes aujourd’hui de restaurer des fichiers supprimés.

    Modzero explique qu’il « n’y a aucune preuve que ce keylogger a été intentionnellement implémenté. Évidemment, c’est une négligence des développeurs — ce qui rend le logiciel non moins nuisible ». Aussi, vu l’urgence du problème, HP n’est pas resté insensible après la divulgation de cette faille et depuis hier, des correctifs sont disponibles pour certains ses modèles d’ordinateurs portables concernés par ce problème. D’autres correctifs devraient être disponibles aujourd’hui pour tous les autres modèles vendus en 2015 et 2016 et qui comprennent les ordinateurs EliteBook, ProBook et ZBook.

    Nom : HP Securité.jpg
Affichages : 11667
Taille : 42,1 Ko

    Ces correctifs peuvent être appliqués en utilisant directement Windows Update pour mettre à jour son système d’exploitation ou en téléchargeant le Softpak sur la plateforme HP pour mettre à jour les pilotes même si l’on est déconnecté. En plus de la publication de ces correctifs, Mike Nash, le Chef de la technologie et vice-président de HP a tenu à apporter des précisions et souligne que les fonctionnalités de keylogger ont été créées par Conexant et non HP et cela pendant le processus de développement afin d'aider à déboguer les problèmes audio. Il souligne qu’ajouter « du code de débogage est une partie normale du processus de développement et ce code est censé être supprimé et ne jamais être inclus dans un produit disponible dans le commerce. Malheureusement, dans ce cas, Conexant n’a pas supprimé le code. Nous n’avons certainement jamais eu l’intention d’inclure ce code dans les produits expédiés ».

    Le représentant de l’entreprise HP conclut en affirmant que « bien que HP n’ait pas créé le pilote, notre travail consiste à garder le client en sécurité même lorsque le problème concerne le code tiers. Nous avons appris de cette situation et travaillerons avec nos partenaires afin de vérifier plus en profondeur que le code de débogage est supprimé de leur logiciel avant sa publication finale ». « Cela dit, nous continuerons également à travailler avec la communauté du domaine de la sécurité pour être informé au cas où des problèmes surviennent, et ensuite travailleront pour s’assurer que nous pouvons sortir des correctifs de haute qualité auprès des clients le plus rapidement possible, tout comme nous le faisons pour ce cas ».

    Télécharger les correctifs

    Source : HP, Modzero

    Et vous ?

    Que pensez-vous de ces failles ? De quoi remettre en cause la sécurité sur les PC HP ?

    Voir aussi

    Windows : les pilotes audio Conexant HD préinstallés sur 28 modèles de laptops HP contiennent un keylogger, d'après la firme suisse modzero
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  5. #5
    Modérateur
    Avatar de Gugelhupf
    Homme Profil pro
    Analyste Programmeur
    Inscrit en
    Décembre 2011
    Messages
    1 320
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Analyste Programmeur

    Informations forums :
    Inscription : Décembre 2011
    Messages : 1 320
    Points : 3 740
    Points
    3 740
    Billets dans le blog
    12
    Par défaut Je suis impacté
    Oh, ils vont "corriger" la pitite fafaille qu'ils ont introduit par erreur...

    J'ai l'un de ces modèles HP. Si nous étions aux États-Unis, nous aurions pu nous regrouper pour attaquer HP en justice et même être dédommagé. En France nous n'avons pas cette culture de défendre nos intérêts et les grands ont toujours le dessus.
    N'hésitez pas à consulter la FAQ Java, lire les cours et tutoriels Java, et à poser vos questions sur les forums d'entraide Java

    Ma page Developpez | Mon profil Linkedin | Vous souhaitez me contacter ? Contacter Gokan EKINCI

  6. #6
    En attente de confirmation mail
    Femme Profil pro
    pape n'aimant pas les censeurs
    Inscrit en
    Janvier 2010
    Messages
    803
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Vatican

    Informations professionnelles :
    Activité : pape n'aimant pas les censeurs

    Informations forums :
    Inscription : Janvier 2010
    Messages : 803
    Points : 1 407
    Points
    1 407
    Par défaut
    J'espère que les spécialistes en communication de crise grâcement payés par HP auront droit à une petite prime supplémentaire: Réussir à faire passer un keylogger pour un simple bug, il fallait oser!!!

    Avantage du bug: On fournit un correctif, pas besoin pour HP de s'expliquer sur le pourquoi d'un keylogger pour un pilote audio... Parce que là, pas de chance, ils ne peuvent pas utiliser le discours habituel: "On vous espionne, mais c'est pour améliorer le service"!!!

  7. #7
    Membre confirmé Avatar de TryExceptEnd
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Octobre 2006
    Messages
    501
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Octobre 2006
    Messages : 501
    Points : 574
    Points
    574
    Par défaut
    On est en 2017 et on nous parle d'un pilote de périphérique qui log en clair les frappes du clavier ???
    Si vous êtes libre, choisissez le Logiciel Libre.

  8. #8
    Expert éminent sénior

    Homme Profil pro
    pdg
    Inscrit en
    Juin 2003
    Messages
    5 749
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : pdg

    Informations forums :
    Inscription : Juin 2003
    Messages : 5 749
    Points : 10 666
    Points
    10 666
    Billets dans le blog
    3
    Par défaut
    Si c'est Conexant le fautif, ça veut dire que y'a pas que les machines HP qui sont potentiellement concernées ? Des news là dessus ?

    Pour ma part je les crois sincères sur le fait que c'est du mauvais travail de développeur et non une backdoor intentionnelle. C'est pas le driver qui est concerné mais la petite application qui tourne dans le systray afin de s'interfacer au driver, et qui installe probablement un hook standard Windows (WH_KEYBOARD). Et ça me surprend pas qu'une petite appli secondaire dans ce genre ait été négligée / confiée à un développeur junior.

    Car des trucs crados qui traînent comme ça dans les programmes moi j'en ai croisé un certain nombre. Et pour moi la raison numéro un c'est la négligence / l'ignorance du management qui considère que les développeurs sont interchangeables / que y'a pas besoin d'encadrer les devs avec des personnes expérimentées et des processus rigoureux. Et dans le domaine de l'IoT / des objets connectés, on n'a pas fini d'en découvrir des perles de ce genre vu l'amateurisme qui y règne

  9. #9
    MikeRowSoft
    Invité(e)
    Par défaut
    Oh !!!! Pas mal celle là.
    Tous est bien qui fini bien.
    Cela étant, c'est étrange qu'il y est ces temps-ci autant de choses capable de vous empêcher de travailler en toutes sérénités.

  10. #10
    Membre averti
    Homme Profil pro
    Responsable Adjoint Support Applicatif
    Inscrit en
    Septembre 2016
    Messages
    78
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 31
    Localisation : France, Seine Saint Denis (Île de France)

    Informations professionnelles :
    Activité : Responsable Adjoint Support Applicatif
    Secteur : Biens de consommation

    Informations forums :
    Inscription : Septembre 2016
    Messages : 78
    Points : 302
    Points
    302
    Par défaut
    Citation Envoyé par Aurelien.Regat-Barrel Voir le message
    Si c'est Conexant le fautif, ça veut dire que y'a pas que les machines HP qui sont potentiellement concernées ? Des news là dessus ?

    Pour ma part je les crois sincères sur le fait que c'est du mauvais travail de développeur et non une backdoor intentionnelle. C'est pas le driver qui est concerné mais la petite application qui tourne dans le systray afin de s'interfacer au driver, et qui installe probablement un hook standard Windows (WH_KEYBOARD). Et ça me surprend pas qu'une petite appli secondaire dans ce genre ait été négligée / confiée à un développeur junior.

    Car des trucs crados qui traînent comme ça dans les programmes moi j'en ai croisé un certain nombre. Et pour moi la raison numéro un c'est la négligence / l'ignorance du management qui considère que les développeurs sont interchangeables / que y'a pas besoin d'encadrer les devs avec des personnes expérimentées et des processus rigoureux. Et dans le domaine de l'IoT / des objets connectés, on n'a pas fini d'en découvrir des perles de ce genre vu l'amateurisme qui y règne
    Je partage l'avis d'Aurélien, la majorité de ce genre de programmes sont souvent liés à un code pourri car baclé et non supervisé.
    J'ajoute en exemple les injections SQL qui était possible sur FB lors de sa première année d'exploitation.

  11. #11
    Membre expérimenté
    Profil pro
    Ingénieur système Linux N3
    Inscrit en
    Juillet 2008
    Messages
    414
    Détails du profil
    Informations personnelles :
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Ingénieur système Linux N3

    Informations forums :
    Inscription : Juillet 2008
    Messages : 414
    Points : 1 508
    Points
    1 508
    Par défaut Pourquoi je n'ai pas de laptop
    Il y a quelques années, j'ai eu à maintenir un parc de tours HP. J'ai donc chargé les drivers et je les ai sauvegardé sur mon NAS synology. La semaine suivante, après le passage de l'antivirus, tous les drivers avaient été mis en quarantaire. Etrange, non ?

  12. #12
    Membre à l'essai
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Août 2017
    Messages
    24
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : Agroalimentaire - Agriculture

    Informations forums :
    Inscription : Août 2017
    Messages : 24
    Points : 15
    Points
    15
    Par défaut Merci la faille pour la 20H2
    A ce jour il faut mettre a jour ce driver pour pouvoir passer 20H2.

    Magnifique.

  13. #13
    Nouveau Candidat au Club
    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Octobre 2021
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Octobre 2021
    Messages : 1
    Points : 1
    Points
    1
    Par défaut
    Les keyloggers c'est partout même dans Windows , Chrome , Firefox aussi, ils traquent tout le monde partout ..

Discussions similaires

  1. Réponses: 3
    Dernier message: 17/07/2015, 17h03
  2. Réponses: 0
    Dernier message: 29/10/2010, 15h38
  3. travailler sur les pilotes de materiel
    Par snapepe dans le forum Windows
    Réponses: 5
    Dernier message: 09/09/2010, 11h40
  4. Réponses: 0
    Dernier message: 23/10/2009, 17h14
  5. pilote audio sur ubuntu
    Par jamdinhe dans le forum Matériel
    Réponses: 0
    Dernier message: 20/10/2009, 17h24

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo