C’est la deuxième fois cette année qu’un enregistreur de saisie est découvert dans les pilotes présents sur les PC de HP. Cette fois-ci, la faille de sécurité affecte les drivers des pavés tactiles Synaptics sur 450 modèles d’ordinateurs portables.
On va finir par s’imaginer qu’il le fait exprès ! Un nouveau keylogger a été découvert dans des PC HP Inc., présent cette fois-ci dans certains drivers de pavés tactiles Synaptics. En mai, c’est dans un pilote audio qu’un autre enregistreur de frappe était caché. Dans un post de blog, un chercheur en sécurité connu sous le pseudonyme ZwClose explique avoir mis le doigt sur ce second keylogger alors qu’il s’intéressait aux drivers des claviers des portables HP.
Cette fonction KeyboardHookCallback ouvre une faille permettant de récupérer les informations de saisie en changeant quelques valeurs du registre. Aucune injection de code à distance n’est nécessaire. Averti, HP a rapidement publié un correctif. Dans son bulletin de sécurité, le constructeur indique qu’un attaquant « aurait besoin de droits d’accès administrateur pour exploiter la vulnérabilité » puisque le keylogger est désactivé par défaut. Un obstacle certes, mais loin d’être insurmontable.
Bis repetita
ZwClose ne précise pas si la vulnérabilité est causée par les drivers Synaptics ou par leur implémentation par HP dans ses produits. Le constructeur note que la faille impacte « tous les partenaires OEM de Synaptics » mais est à ce jour le seul à avoir communiqué sur ce keylogger. Il a par ailleurs précisé au chercheur que l’enregistreur de saisie est un reste de débogage.
Sur son site support, HP a publié les patchs pour une longue liste de PC portables. Plus de 450 modèles sont affectés par cette vulnérabilité, dont certains Omen, Spectre, Pavilion, Envy mais aussi les workstations mobiles Zbook. ZwClose remarque dans son billet la « terrifiante » réactivité du constructeur, qui a maintenant l’habitude. C’est le deuxième keylogger détecté dans ses produits en moins d’un an. Reste à savoir si HP laisse volontairement trainer des espions dans ses PC ou si ses processus d’implémentation des pilotes demandent une révision urgente.