Certains modèles d’ordinateurs portables HP sont équipés d’un pilote audio qui surveille silencieusement tout ce que vous tapez, y compris les mots de passe, les ouvertures de session et autres données sensibles. Le keylogger existe depuis qu’une mise à jour a été publiée en 2015. Il traite toutes les frappes effectuées par l’utilisateur et écrit les informations dans un fichier texte.
Le problème a été découvert par le consultant en sécurité ModZero. Le pilote est développé et signé par Conexant, un fabricant américain de semi-conducteurs qui fournit des composants pour les cartes son. ModZero pense que le keylogger a été mis en place par une défaillance des développeurs, et non intentionnellement (ce qui ne le rend pas moins dangereux).
Les espions sont les fichiers MicTray64.exe et MicTray.exe, présents dans le dossier C:Windows System32. Apparemment, ils servent à contrôler des LED spéciales ou des touches de raccourci des ordinateurs portables HP : le pilote permet d’activer ou de désactiver le microphone à l’aide d’un bouton, par exemple. Comme ces clés ne sont pas normalisées, il est généralement nécessaire de développer des programmes spécifiques pour chaque gamme d’ordinateurs portables.
Toutefois, une mise à jour de 2015 a ajouté des fonctions de diagnostic qui transmettent à une interface interne toutes les touches tapées par l’utilisateur, et pas seulement les raccourcis spéciaux. Une version plus récente, 1.0.0.46, rend les choses encore pires : elle écrit les clés dans le fichier texte C:UsersPublicMicTray.log, auquel tout utilisateur de la machine peut accéder.
La situation n’est plus grave car le fichier MicTray.log est écrasé à chaque connexion Windows. Néanmoins, tout processus malveillant peut surveiller en temps réel ce qui est enregistré dans le journal. Et ModZero vous rappelle que si vous effectuez généralement des sauvegardes périodiques, il est fort probable que vous ayez des fichiers contenant tout ce que vous avez tapé ces dernières années.
Les modèles suivants d’ordinateurs portables HP sont concernés (il peut y en avoir d’autres, non encore connus) :
Bien que le bogue ne soit pas corrigé, la recommandation pour ceux qui n’aiment pas être surveillés est de rechercher les fichiers MicTray64.exe ou MicTray.exe dans C:Windows System32 et de les renommer ou de les supprimer. Toutefois, si vous faites cela, certaines clés spéciales de votre ordinateur portable risquent de ne plus fonctionner.