Computrace, le tracker espion invisible et universel

La société Kapersky a identifié un logiciel tracker présent, à l’insu de leurs propriétaires, sur plus de deux millions d’ordinateurs et d’appareils mobiles à travers le monde. Cet agent, en plus d’être universel, est inamovible, et presente un grand risque en terme de sécurité.

La société Kaspersky, spécialisée dans la détection et l’élimination de malware, connue notamment pour son antivirus très répandu, a débusqué il y a quelques mois un logiciel installé sur plus de 2 millions d’ordinateurs de par le monde. Ce logiciel, appelé Computrace, commercialisé par la société Absolute, permet officiellement de sécuriser les données d’un ordinateur, de géolocaliser les ordinateurs volés ou d’effacer à distance le disque dur. Ce logiciel a donc, d’après Absolute, une vocation de protection des données, et permettrait de protéger ses documents en cas de vol de son ordinateur portable.

Ce logiciel tracker est installé nativement sur certains ordinateurs, et il est présent sur les machines dés leur première utilisation. Ce logiciel est présent si profondément dans le BIOS qu’il est quasiment impossible de s’en débarrasser. Réinstallation, formatage et remplacement du disque dur ne font rien quant à la présence du tracker. Computrace  est présent dans une partie non modifiable.

 

img-pers-fy11q1-v2

 

Potentiellement, tous les ordinateurs infectés par Computrace sont des botnets en puissance. Le protocole utilisé par Computrace n’est pas chiffré, et il est possible de faire croire au logiciel qu’il discute avec son serveur de gestion, alors qu’il s’agit d’une personne extérieure, qui utilise des DNS détournés. L’attaquant peut alors utiliser du code sur le PC infecté, accéder aux fichiers, etc.

Kaspersky a aussi contacté la société Absolute et leur a fourni des numéros de série de matériels qui contenaient l’agent Computrace. Absolute n’a aucune trace de ces appareils dans sa base de données. Cela signifie que Computrace a été activé sur ces machines par un autre chemin extérieur à celui “officiel” d’Absolute.

Au total, ce sont plus de 2 millions de postes qui seraient infectés par Computrace. Le logiciel aurait été installé sur différents modèles d’ordinateurs fabriqués par des partenaires commerciaux d’Absolute.

Seul Toshiba a reconnu avoir pré-installé Computrace sur ses machines. Les autres ne se sont pas exprimés sur le sujet. Cependant, Absolute compte parmi ses clients des constructeurs comme Acer, Apple, ASUS, Dell, Fujitsu, Gateway, HP, Lenovo, Microsoft, Panasonic, Samsung, Sony et Toshiba. Les ordinateurs produits par ces marques sont donc susceptibles d’être infectés par Computrace.

Même si Kaspersky ne s’est penché que sur la version PC Windows, Computrace existe aussi en version smartphone / tablette (Android) et Mac OSX.

Computrace n’est pas reconnu comme un logiciel malveillant par la plupart des antivirus. Il l’a été pendant un moment, notamment par Microsoft qui l’a nommé Win32/BeeInject, mais a ensuite été retiré des listes de détection.

En effet, comme il s’agit d’un logiciel légitime de tracking et prise de contrôle à distance qui est vendu par une société reconnue et qu’il est présent sur un grand nombre de machines, il figure sur la plupart des listes blanches des antivirus.

Peu de solutions sont proposées. Il est possible de se débarrasser du tracker en changeant de carte mère, pour un autre modèle avec un BIOS non signé comme Coreboot. Il existe également des solutions pour bloquer les connexions de l’agent Computrace, mais aucune ne permet de se débarrasser définitivement de cette porte d’entrée présente sur nos ordinateurs.

0727718   Alexis CORNILLEAU

Etudiant en Master 2 Gestion et Droit de l’Économie Numérique, passionné de modernité, de nouvelles technologies, et d’e-sport.  Vous pouvez consulter mon profil  LinkedIn couleurou logo Twitter couleur 

 

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.