Computrace Absolute : souriez, vous êtes espionnés (ou pire)

Publié à 6:53 par - Dans Logiciels - Pas de réactions.

Computrace Absolute permet de géolocaliser, prendre le contrôle ou réaliser à distances des audits sur les ordinateurs sur lesquels il est installé. Problème : il est souvent embarqué en douce directement par le constructeur.

computrace-large

La société Kaspersky, spécialisée dans la détection et l’élimination de malware, a levé le lièvre en 2012 et pourtant peu de suite ont été données à l’affaire.  La société estime que ce logiciel installé sur plus de 2 millions d’ordinateurs. Vous voilà donc avec une belle faille de sécurité, puis que Computrace Absolute  peut être utilisé pour prendre le contrôle de votre machine. On le retrouve sur de nombreux PC mais il existe également pour Android et Mac OSX. Pour vous donner une idée du désaster, voici quelques clients de d’Absolute : Acer, Apple, ASUS, Dell, Fujitsu, Gateway, HP, Lenovo, Microsoft, Panasonic, Samsung, Sony et Toshiba.. Sur les portables gamers, on peut citer les Asus G73 ou les Alienware M11xR2, M11xR3, M14x, M15x, M17x, M18x… Liste complète ici.  Précison que l’intégration de Computrace n’est pas systématiqu mais que ce matériel est compatible. Et comme il s’agit d’un vrai programme utilisé par  les administrateurs pour gérer des parcs informatiques, les antivirus lui laissent une paix royale. Pour l’anecdote, il était référencé Microsoft sous la référence VirTool:Win32/BeeInject

Mais où est le problème, me direz-vous ? Premièrement, on ne savait pas au moment de l’achat que la porte d’entrée de ces nombreux PC était grande ouverte. Ce qui veut dire qu’il est vulnérable et qu’un certain nombre de personnes plus ou moins bien intentionnées a potentiellement un accès libre et total à vos données. Nos copains cybercriminels ou les agences gouvernementales, au hasard.

Deuxièmement, comme il est intégré dans le Bios, encore faut-il savoir qu’il est là. Et histoire d’en rajouter une couche, sur PC, il est normalement désactivable dans le BIOS mais certains des ordinateurs analysés par Kaspersky n’avaient même pas cette option visible. Bref, vous laissez la porte grande ouverte, que vous le vouliez ou non. Et la mise-à-jour du BIOS est inefficace. La seule solution est de changer de carte-mère.

 

Pour savoir si vous êtes concernés, Korben donne la marche à suivre :

Déjà, pour vérifier si Computrace est présent sur votre ordinateur, vous pouvez lancer HijackThis et vérifier si l’un des processus suivants est lancé :
– rpcnet.exe
– rpcnetp.exe
– 32 bitsvchost.exe (tournant sur un OS en 64 bits)

Si les fichiers sont présents sur votre disque dur :
– %Windir%\system32\rpcnet.exe
– %Windir%\system32\rpcnetp.exe
– 
%Windir%\system32\wceprv.dll
– 
%Windir%\system32\identprv.dll
– 
%Windir%\system32\Upgrd.exe
– 
%Windir%\system32\autochk.exe.bak (FAT)
– 
%Windir%\system32\autochk.exe.bak (NTFS)

Si vous voyez passer des requêtes DNS vers ces adresses :
– 
search.namequery.com
– 
search.us.namequery.com
– 
search64.namequery.com
– 
bh.namequery.com
– 
namequery.nettrace.co.za
– 
search2.namequery.com
– 
m229.absolute.com ou toute m *. absolute.com

Si votre système se connecte à l’adresse IP suivante : 209.53.113.223

Si les clés suivantes sont présentes en base de registre :
– 
HKLM\System\CurrentControlSet\Services\rpcnet
– 
HKLM\System\CurrentControlSet\Services\rpcnetp

Pour les détails techniques sur le fonctionnement de Computrace Absolute, je vous invite à lire l’étude de  Kapersky (en anglais). Vous pouvez également le billet sur le site de Korben.

Connectez vous ou Inscrivez vous pour pouvoir laisser un commentaire