Un keylogger caché dans le pilote clavier de HP

HP vient d’émettre un bulletin d’information à l’intention de ses clients grand public et entreprises alertant d’une « vulnérabilité potentielle » dans « certaines versions des pilotes de touchpad Synaptics » équipant un vaste éventail de ses produits. La vulnérabilité en question est en fait un logiciel espion capable d’intercepter les saisies clavier. Par défaut, il est désactivé, mais un tiers malveillant pourrait l’activer à l’insu de l’utilisateur en disposant des privilèges d’administration, explique Michael Myng, le chercheur à l’origine de la découverte. Dans un billet de blog, il souligne la réactivité dont a fait preuve HP à la réception de son alerte. Le constructeur propose aujourd’hui des mises à jour. Il faut dire qu’il a été échaudé, un peu plus tôt cette année.

Au mois d’avril dernier, les équipes du Suisse Modzero ont découvert un enregistreur de saisies au clavier glissé dans un pilote pour composants audio signés Conexant présents dans plusieurs ordinateurs portables professionnels signés HP.

Mais la situation était là plus préoccupante : le code malvenu se cachait dans un exécutable se lançait après chaque ouverture de session. Il surveillait toutes les frappes clavier réalisées par l’utilisateur pour… réagir à des fonctions telles que la mise en silence du microphone via des touches dédiées. Mais le code en question ne s’arrêtait pas là et stockait toutes les saisies dans un fichier de trace stocké à un emplacement accessible à tous, ou les transférait à une API permettant à n’importe quel processus dans le contexte utilisateur de capturer les saisies clavier. Le tout en toute furtivité.