La société de sécurité suisse ModZero a mis au jour la présence de ce qu'elle qualifie de keylogger dans un pilote audio Conexant (Conexant HD Audio Driver Package) fourni avec des ordinateurs HP : HP Elite, EliteBook, ProBook et ZBook.

Facepalm Le coupable est un fichier MicTray64.exe (mic tray icon ; C:\windows\system32\mictray64.exe) qui est démarré à chaque connexion à l'ordinateur via le planificateur de tâches de Microsoft. Les versions 1.0.0.46 et antérieures sont affectées.

Ce fichier surveille les frappes au clavier de l'utilisateur afin d'interagir avec des fonctions en rapport avec le microphone, comme par exemple pour le désactiver. Sauf qu'il ne se contente pas de guetter les touches spéciales du clavier. Il les intercepte toutes et avec une écriture dans un fichier local (C:\users\public\MicTray.log).

L'US-CERT écrit que les données sont divulguées via des canaux involontaires. " Les messages de débogage accessibles à tout processus s'exécutant dans la session utilisateur active, et l'accès au système de fichiers à C:\Users\Public\MicTray.log par n'importe quel processus. "

Le danger est incarné par le risque d'un malware présent sur l'ordinateur qui pourrait exploiter cette faille. Un attaquant avec un accès physique à l'ordinateur pourrait également copier le fichier de log et extraire des données sensibles saisies (ce fichier est réécrit à chaque nouvelle connexion).

Oups...

ModZero n'envisage pas un keylogger implémenté de manière intentionnelle mais penche pour une négligence de la part de développeurs. La société de sécurité recommande à tous les utilisateurs d'ordinateurs HP de vérifier si le programme C:\Windows\System32\MicTray64.exe ou C:\Windows\System32\MicTray.exe est installé. Le cas échéant, il est à supprimer ou renommer pour mettre un terme à tout enregistrement.

Cela étant, un responsable de HP a indiqué à ZDNet qu'un correctif est disponible via Windows Update et sur le site HP.com. Il a ajouté que la fonctionnalité de type keylogger a été ajoutée par erreur au code de production du pilote et n'aurait pas dû se retrouver sur les appareils des utilisateurs finaux.