Computrace : un espion caché dans votre PC

Ecrit par Protéger Son Image le 17 juillet 2014
Outils 2 commentaires
Computrace : un espion caché dans votre PC

Affaire Snowden, scandale Heartbleed : plus que jamais la surveillance est au cœur de l’actualité. Quels en sont les outils ? Un exemple : Computrace, un logiciel installé sur plus de 2 millions de postes, et qui fonctionne comme un vrai mouchard. Comment agit-il ? Comment s’en débarrasser ?

Quel est donc ce logiciel installé sur des millions d’ordinateurs PC, Mac, appareils Android et que la société Kaspersky, spécialisée dans la détection de softwares malveillants, vient de révéler ? Computrace, commercialisé par la société Absolute est un petit logiciel qui permet, afin de faciliter la vie des services informatiques, de géolocaliser des appareils volés, de déployer à distance des mises à jour ou de lancer des audits afin de produire des rapports concernant les machines.

En d’autres termes, de prendre à distance le contrôle de votre ordinateur, et donc, si cela est utilisé à mauvaise escient, de faire ce que l’on veut de votre ordinateur, PC ou Mac, de votre tablette ou de votre smartphone et ainsi de transformer un précieux outil de protection en un puissant instrument de cyberattaques.

Comment a-t-il été découvert ?

Comment ce logiciel espion a-t-il été révélé au grand jour ? Que s’est-il passé ? L’histoire est assez simple : l’épouse d’un employé de Kaspersky a constaté des ralentissements sur son ordinateur. Après quelques analyses, son mari découvre des processus du logiciel Computrace. Ce logiciel est assez répandu puisqu’il permet aux constructeurs des mises à jour à distance des ordinateurs.

Or, il n’a jamais entendu parler du logiciel Computrace d’Absolute et il retrouve ce même logiciel sur tous les postes de la société et dans tous les ordinateurs personnels de ses collègues. Ainsi commence l’enquête !

Un petit logiciel qui cache bien son jeu

Les spécialistes de la société découvrent que ce petit programme très répandu fonctionne en fait comme un virus. Mais la force de ce programme est justement qu’il n’est pas reconnu comme malveillant par les antivirus. Puisqu’il s’agit au départ d’un logiciel légitime de tracking vendu par une société reconnue. Il fonctionne donc comme un vrai agent double !

Installé directement dans le BIOS de votre machine, il met en route un .exe qui a un accès complet aux fichiers Windows et qui se lance automatiquement à chaque démarrage.  Un processus masqué utilisant Internet Explorer est alors lancé et permet de communiquer avec le serveur de gestion de Computrace via des URL classiques, ce qui peut provoquer des ralentissements sur la machine.

L’autre spécificité est que Computrace marque chaque machine d’un ID unique. Or lorsque Kaspersky a envoyé les numéros de séries de leurs postes, Absolute n’en a pas trouvé la trace dans leur base de données. Tout est donc envisageable puisque l’on peut conclure que le programme n’a pas été lancé sur ces ordinateurs par la voie officielle gérée par Absolute. Qui a pris la main sur ces postes ?

Rien n’indique de manière certaine qu’Absolute Computrace soit utilisé comme plate-forme pour des attaques mais, de l’avis de tous ces experts, les risques sont évidemment présents.

Mais alors… Comment s’en débarrasser ?

La caractéristique première de ce logiciel est donc bien sa présence dans le BIOS de la machine et donc sa persistance malgré le formatage, changement de disque ou autre mise à jour. Impossible de le supprimer !

La seule solution : les grands moyens, le changement de carte mère. Cette découverte rappelle qu’il est important de prendre du recul et de s’interroger sur les processus et les programmes les plus répandus installés sur nos machines. Restons vigilant !