Artur Marciniec - Fotolia

Un logiciel espion dans un pilote audio d’ordinateurs HP

Le constructeur propose une mise à jour pour les machines de 2016. Celles de l’année précédente doivent la recevoir de manière imminente.

C’est fin avril que les équipes du suisse Modzero ont découvert le problème : un enregistreur de saisies au clavier s’est glissé dans un pilote pour composants audio signés Conexant présents dans plusieurs ordinateurs portables professionnels signés HP – plusieurs modèles EliteBook, ProBook et ZBook.

Le code malvenu se cache dans l’exécutable Mictray64.exe qui se lance après chaque ouverture de session : « le programme surveille toutes les frappes clavier réalisées par l’utilisateur pour capturer et réagir à des fonctions telles que la mise en silence du microphone via des touches dédiées ».

Las, le code en question ne s’arrête pas là : « toutes les informations [liées aux saisies clavier] sont inscrites dans un fichier de trace stocker à un emplacement accessible à tous (C:\Users\Public\MicTray.log) ». Et si ce fichier n’existe pas, les données collectées sont transférées à une API « qui permet à n’importe processus dans le contexte utilisateur de capture les saisies clavier sans exposer un comportement malicieux ». De quoi collecter des données potentiellement sensibles en toute discrétion.

HP a été informé de la menace et commence à proposer un correctif pour ses portables 2016 concernés. Les modèles 2015 affectés doivent également en recevoir un de manière imminente. Mais Modzero prévient : d’autres constructeurs pourraient être concernés, qui « livrent matériel et pilotes Conexant » avec leurs machines. 

Pour approfondir sur Protection du terminal et EDR

Close