Publié dans Techno

Computrace – Le mouchard universel présent sur les PC, Mac et appareils Android

Et si je vous disais qu’il y a dans votre ordinateur un mouchard que vous ne pouvez pas enlever, qui a été mis en place par le constructeur, qui est sur les listes blanches de la plupart des antivirus et dont vous n’avez jamais entendu parler ?

La société Kaspersky, spécialisée dans la détection et l’élimination de malware a débusqué il y a quelques mois un logiciel installé sur plus de 2 millions d’ordinateurs de par le monde qui est commercialisé par la société Absolute et qui permet OFFICIELLEMENT :

  • De sécuriser les données d’un parc de postes à distance
  • De déployer toujours à distance des mises à jour, des licences ou de lancer des audits
  • De géolocaliser des ordinateurs volés
  • De produire des rapports concernant les machines
  • De récupérer des fichiers
  • D’effacer à distance des documents ou tout le disque dur

Computrace_TheftRecoveryProcess

Et qui est OFFICIEUSEMENT un trou béant dans la sécurité de votre ordinateur, car il peut être utilisé par un attaquant pour faire ce qu’il veut sur votre PC.

Le plus flippant là dedans, c’est qu’après les révélations de Kaspersky, personne ou presque n’en a parlé dans la presse ou sur les sites spécialisés. Bouuuh !

L’histoire de cette découverte n’est pas banale. La femme d’un des chercheurs de Kaspersky a constaté des plantages et des ralentissements sur son ordinateur. Elle l’a donc confié à son mari qui a commencé à analyser la bestiole, pensant y trouver un virus connu. Il est alors tombé sur des dll et des processus appartenant au logiciel Absolute Computrace.

Jusque là, rien de vraiment anormal puisque Absolute Computrace et son équivalent grand public LoJack sont vendus à des tas de sociétés pour que les administrateurs puissent suivre à la trace les machines, lancer des audits, faire des mises à jour…etc., le tout à distance.

Seulement, l’employeur de la dame n’avait jamais entendu parler de ce logiciel. Les chercheurs de Kaspersky ont alors commencé à regarder autour d’eux et se sont rendu compte qu’il y avait exactement le même logiciel installé sur leurs ordinateurs du boulot et leurs ordinateurs personnels.

Angoisse !

Ils ont alors mené une enquête plus approfondie et voici ce qu’ils ont découvert. Computrace se divise en 3 modules présents dans l’option ROM PCI qui est chargée ensuite par le BIOS de la machine.

absolutecomputrace_01s27

  • Computrace Loader Module : Module de chargement lu par le BIOS et capable d’appeler le module d’installation.
  • Agent Installation Module : Module qui installe l’agent sur Windows.
  • Agent : L’agent en lui-même qui est ensuite présent et fonctionnel sous Windows.

absolutecomputrace_02s27

Cette « option » Computrace est normalement visible dans le BIOS des machines et est mise en place par le fabricant de l’ordinateur. Absolute est fière de compter parmi ses clients des constructeurs comme Acer, Apple, ASUS, Dell, Fujitsu, Gateway, HP, Lenovo, Microsoft, Panasonic, Samsung, Sony et Toshiba. Ah oui, j’oubliais… Même si Kaspersky ne s’est penché que sur la version PC Windows, Computrace / LoJack existe aussi en version smartphone / tablette (Android) et Mac OSX.

Edit: Il semble que cette dernière phrase n’ait pas été comprise par tous. Je vais tenter de mieux l’expliquer. L’agent Computrace est un logiciel qui peut s’installer volontairement. Cet agent est dispo sous Linux, Windows, Android et MacOSX. Seulement pour le moment et jusqu’à preuve du contraire, seuls certains PC Windows sont équipés d’un Computrace par défaut logé dans le bios et capable de déployer son agent sous Windows. Pour MacOSX ça ne semble pas être le cas. En tout cas, personne n’a encore creusé dans cette direction. Et pour Android, aucune preuve n’a été apportée non plus, même si certains téléphones et tablettes sont marqués par Absolute (voir liste ci-dessous) comme équipé d’un Computrace. Bref, pour les PC Windows on est sûr car Kaspersky a bien analysé tout le bordel mais pour OSX et Android, c’est non-prouvé.

En ce qui concerne Computrace sur PC, il est normalement désactivable dans le BIOS mais pas dans tous, puisque certains des ordinateurs analysés par Kaspersky n’avaient même pas cette option visible dans le BIOS et contenaient pourtant l’agent Computrace.

absolutecomputrace_04s27

L’intérêt d’une telle présence dans le BIOS de la machine, c’est la persistance du programme. Que vous réinstalliez, formatez ou changiez de disque dur, le tracker sera toujours présent. N’espérez pas pouvoir l’effacer en mettant à jour votre BIOS. Non, car il est présent dans une partie non modifiable et si vous flashez votre BIOS avec un nouveau firmware, il ne sera pas dégagé.

absolutecomputrace_03s

Voici comment il fonctionne.

Dès l’initialisation du BIOS, le module Computrace scanne les partitions FAT/FAT32/NTFS de la machine à la recherche du répertoire Windows. Il fait une copie de sauvegarde du logiciel autochk.exe et le remplace par sa propre version modifiée.

Autochk.exe ayant un accès complet aux fichiers et à la base de registre de Windows, cela permet à Computrace d’installer son agent rpcnetp.exe dans le répertoire System32 puis de l’enregistrer comme un service à lancer automatiquement à chaque démarrage.

Une fois que c’est fait, il restaure la sauvegarde de autochk.exe.

Rpcnetp.exe enregistre alors sa DLL rcpnetp.dll et l’injecte en mémoire. Un processus masqué utilisant iexplore.exe (Internet Explorer) est alors lancé et permet de communiquer avec le serveur de gestion de Computrace via des URL classiques (avec des POST et des GET). Passer par Internet Explorer permet d’utiliser les mêmes proxys et la même config que ceux de l’internaute. Des données sont envoyées et reçues entre cet agent et les serveurs d’Absolute, ce qui peut provoquer des ralentissements sur la machine.

absolutecomputrace_06s

Ce module télécharge alors un autre agent baptisé rpcnet.exe qui est un peu plus gros, mais qui se comporte sensiblement de la même manière que rpcnetp.exe. Il s’immisce dans le système et d’après Kaspersky, permet de donner un accès distant et complet à la machine sur laquelle il tourne. En gros, il s’agit d’un logiciel de tracking et de prise de contrôle à distance.

Computrace utilise les mêmes techniques de filou que les logiciels malveillants et cherche délibérément à se cacher de l’utilisateur. La raison est d’éviter qu’un voleur de portable le remarque, et puisse masquer sa localisation ou bloquer Computrace.

Computrace marque aussi avec un ID unique la machine, ce qui permet de l’identifier de manière sûre.

En analysant les trames réseau échangées entre les agents et le serveur de gestion, Kaspersky a remarqué qu’il était possible à n’importe qui d’injecter à distance n’importe quel code afin de l’exécuter sur la machine. Le protocole utilisé n’étant pas chiffré, n’exigeant pas d’authentification de la part du serveur gestionnaire et les serveurs appelés l’étant via de simples URL, il est possible de faire croire à l’agent Computrace qu’il discute avec son serveur de gestion alors qu’il s’agit d’un attaquant qui a détourné quelques DNS. L’attaquant peut alors lancer du code sur la machine, accéder aux fichiers, récupérer les trames réseau..etc.

Potentiellement, tous les ordinateurs infectés par Computrace sont des botnets en puissance. Kaspersky a aussi remarqué à plusieurs reprises que Computrace s’activait immédiatement sur des PC neufs.

Kaspersky a aussi contacté la société Absolute et leur a fourni des numéros de série de matériels qui contenaient l’agent Computrace. Absolute n’a aucune trace de ces appareils dans sa base de données. Cela signifie que Computrace a été activé sur ces machines par un autre canal que celui « officiel » d’Absolute. Jusqu’à aujourd’hui, ça reste un mystère.

D’après les sondes de Kaspersky, voici la répartition dans le monde des ordinateurs équipés de Computrace / LoJack.

absolutecomputrace_13s

Au total, ce sont plus de 2 millions de postes qui seraient infectés par Computrace. Tous les constructeurs seraient touchés, ce qui est logique puisqu’ils sont partenaires d’Absolute. Ces chiffres sont bien sûr réduits puisqu’ils sont été remonté uniquement par les postes où les logiciels de Kaspersky sont installés.

absolutecomputrace_14s

Seul Toshiba a reconnu avoir pré-installé Computrace sur ses machines. Les autres ne se sont pas exprimés sur le sujet.

Le problème avec Computrace, c’est qu’il n’est pas reconnu comme un logiciel malveillant par la plupart des antivirus. Il l’a été pendant un moment, notamment par Microsoft qui l’a nommé Win32/BeeInject, mais a ensuite été retiré des listes de détection.

absolutecomputrace_20s

En effet, comme il s’agit d’un logiciel légitime de tracking et prise de contrôle à distance qui est vendu par une société reconnue et qu’il est présent sur un grand nombre de machines, il figure sur la plupart des listes blanches.

On n’en connait pas les raisons, mais les constructeurs l’ont mis en place sur leurs ordinateurs progressivement depuis 2005 sans avertir leurs clients. Et Computrace étant vulnérable à tout un tas d’attaques et de détournements, il s’agit là d’une véritable backdoor affaiblissant les ordinateurs sur lesquels il se trouve.

Cela soulève tout un tas de questions, parmi lesquelles :

  • Pourquoi des PCs neuf se retrouvent avec Computrace activé d’office ? (et masqué dans certains BIOS)
  • Pourquoi Absolute n’a aucune connaissance de certains appareils dont l’agent Computrace est actif ?
  • Computrace est-il utilisé par des organismes gouvernementaux à l’insu d’Absolute, pour accéder à nos machines quand bon leur semble ? (Comprenez : La NSA a-t-elle quelque chose à voir là-dedans ?)

Pour cette dernière question, vu tout ce qu’on a appris durant cette année sur la surveillance globale (merci, Snowden), y compris durant l’affaire Heartbleed, on est en droit de penser que oui.

Alors, maintenant que faire ?

Tout d’abord, si votre ordinateur fait partie de cette liste, vous êtes susceptible d’être l’heureux propriétaire d’un agent Computrace (Edit : Ce n’est pas systématique. Il s’agit là du matos compatible avec Computrace). Félicitations !

acer
Notebooks & Tablets Models
Aspire 3830T, 4741, 7741, M5-481T
Iconia W701
TravelMate All Models
asus
Notebooks & Tablets Models
B43 Series B43F, B43J
B53 Series B53F, B53J
Eee Pad Eee Slate B121
F52 Series F52Q
F6 Series F6Ve
F80 Series F80Q
G51 Series G51Jg
G53 Series G53Jq, G53Jw
G73 Series G73Jh, G73Jw
M51 Series M51A
N10 Series N10Jb, N10Jh
N20 Series N20A
N43 Series N43Jf
N53 Series N53Jf, N53Jn, N53Jq
N71 Series N71Ja, N71Jq, N71Jv
N73 Series N73Jf, N73Jn, N73Jq
N81 Series N81Vg, N81Vp
N82 Series N82Jg, N82Jq, N82Jv
P42 Series P42F, P42Jc
P50 Series P50Ij
P52 Series P52F, P52Jc
U Series Other U31, U41
UL Series Other UL21, UL31
UL30 Series UL30A, UL30Jt, UL30Vt
UL80 Series UL80Jt
UX Series UX21, UX31
dell
Desktops & Workstations Models
Optiplex Desktop 3010, 3011, 3020, 330, 360, 380, 380S, 390, 580, 580S, 7010, 745, 745c, 755, 760, 760S, 760U, 780, 780S, 780U, 790, 9010, 9010 AIO, 9020, 9020 AIO, 960, 960S, 980, 980S, 990, FX100, FX130, FX170, XE D, XE S, XE2
Precision R5400 Workstation, R5500 Workstation, R7610, T1600, T1650, T20, T3400, T3500, T3600, T3610, T5400, T5500, T5600, T5610, T7400, T7500, T7600, T7610
Notebooks & Tablets Models
Alienware M11xR2, M11xR3, M14x, M15x, M17x, M18x
Inspiron 1110, 1120, 1121, 11z, 1200, 13, 1300, 130B, 1318, 13z, 14 N4050, 1420, 1440, 1464, 1470, 14R, 14z Ultrabook, 15, 1501, 1520, 1521, 1525, 1526, 1545, 1546, 1564, 1570, 15R, 15z Ultrabook, 17, 1720, 1721, 1745, 1764, 17R, 2200, 3421, 3437, 3521, 3537, 3721, 3737, 5323, 5420, 5421, 5425, 5435, 5437, 5520, 5521, 5525, 5535, 5537, 5720, 5721, 5735, 5737, 6000, 630, 6400, 640M, 7000 Series, 700M, 710M, 7420, 7437, 7520, 7537, 7720, 7737, 9300, 9400, B120, B130, Duo Tablet, E1405, E1505, E1705, M101z, M102z 1122, M5010, M5030, N4010, N4020, N4030, N4110, N5010, N5030, N7010
Latitude 10 Tablet, 110L, 120L, 13, 131L, 2100, 2110, 2120, 3330, 3340, 3440, 3540, 4310, 5410, 5510, 6410, 6410 ATG, 6510, D410, D420, D430, D510, D520, D530, D531, D610, D620, D630, D630 XFR, D631, D810, D820, D830, E4200, E4300, E4310, E5000, E5400, E5410, E5420, E5430, E5440, E5500, E5510, E5520, E5530, E5540, E6000, E6220, E6230, E6320, E6330, E6400, E6400 ATG, E6400 XFR, E6410, E6410 ATG, E6420, E6420 ATG, E6430, E6430 ATG, E6430S, E6430u, E6440, E6500, E6510, E6520, E6530, E6540, E7240, E7440, ST Tablet, X1, XT, XT2, XT2 XFR, XT3 Tablet, Z, Z600
Netbook UMPC Inspiron Duo Convertible, Inspiron Mini 10, Inspiron Mini 1010, Inspiron Mini 1011, Inspiron Mini 1012, Inspiron Mini 1018, Inspiron Mini 12, Inspiron Mini 9, Inspiron Mini 910, Latitude 2100, Latitude 2120
Precision 390, 490, 690, M20, M2300, M2400, M4300, M4400, M4500, M4600, M4700, M4800, M6300, M6400, M65, M6500, M6600, M6700, M6800, M70, M90
Studio 15, 16, 17
Venue Tablets Venue 11 Pro Tablet, Venue 8 Pro Tablet
Vostro 1000, 1200, 1310, 1320, 1400, 1440, 1500, 1510, 1520, 1540, 1700, 1710, 1720, 2420, 2520, 3300, 3350, 3360, 3400, 3450, 3460, 3500, 3550, 3555, 3560, 3700, 3750, 5560, V130, V131
XPS 11 Ultrabook, 12 Ultrabook, 13 Ultrabook, 14 Ultrabook, 14z, 15, 15z, 720, M1210, M1330, M140, M1530, M170, M1710, M1730, M2010, XPS 12, XPS 15, XPS 17, XPS 17 3D, XPS 18
fujitsu
Notebooks & Tablets Models
CELSUIS series H710, H720, H730, H910, H920
LIFEBOOK A-series A1120, A1130, A3120, A3130, A3210, A530, A531, A532, A6010, A6025, A6110, A6120, A6210, A6220, A6230, AH530, AH531, AH532, AH550, AH552
LIFEBOOK B-series B6220, B6230, BH531
LIFEBOOK C-series C1410
LIFEBOOK E-series E733, E734, E743, E744, E751, E752, E753, E754, E780, E781, E782, E8310, E8410, E8420
LIFEBOOK L-series LH531, LH532, LH772
LIFEBOOK M-series M702, MH380
LIFEBOOK N-series N532, N6460, N6470, NH532, NH570, NH751
LIFEBOOK P-series P1610, P1620, P1630, P701, P702, P7230, P731, P770, P771, P772, P8010, P8020, PH521, PH701, PH702
LIFEBOOK S-series S2210, S561, S6510, S6520, S710, S7110, S7210, S7211, S7220, S751, S752, S760, S761, S762, S781, S782, S792, S904, SH531, SH572, SH761, SH762, SH771, SH772, SH792
LIFEBOOK T-series T1010, T2010, T4210, T4215, T4220, T4310, T4410, T5010, T580, T730, T731, T732, T734, T900, T901, T902, T904, TH700, TH701
LIFEBOOK U-series U554, U574, U772, U810, U820, U904, UH552, UH572, UH900
LIFEBOOK V-series V1010, V1020, V1030, V1040
STYLISTIC series M532, MH350, Q550, Q552, Q572, Q584, Q702, Q704, ST5111, ST5112, ST6012
gammatech
Notebooks & Tablets Models
Durabook D13RY, D14RY, D15RP, D15TS
gateway
Notebooks & Tablets Models
100s C-140, E100m, E100mg, E155c, E155cg
200s E-265M, E-295c, M250es, M250gs, M255e, M255g, M280e, M280g, M285e, M285g
400s E 475M, M460es, M460gs, M465e, M465g
600s M680es, M680gs, M685e, M685g
CX CX2700
Desktops E4610, E6610
MP MP6900, MP8700
MX MX1000, MX3300, MX3400, MX6300, MX6400, MX6900, MX8700
gd-itronix
Notebooks & Tablets Models
Duo-Touch II Tablet T8Y
GoBook VR-2, XR-1
Vehicle Rugged Notebook GD6000, GD8000
getac
Notebooks & Tablets Models
Rugged Notebook A790, B300, M230N, S400
Rugged Tablet E100, V100
hp
Desktops & Workstations Models
Compaq Elite Desktops 8000, 8000f USDT, 8100, 8200
HP Compaq All-in-Ones (AiO’s) Elite 8200 AiO, Elite 8300 AiO, Pro 4300 AiO, Pro 4300 AiO, Pro 4300 AiO, Pro 6000 AiO, Pro 6300 AiO
HP Compaq dc & Pro Desktops 4000, 4300SFF, 5800, 5850, 7700, 7800, 7900, Elite 8000, Elite 8100, Elite 8200, Elite 8300 – all form factors, Pro 6000, Pro 6005, Pro 6005 USDT, Pro 6200, Pro 6300 – all form factors, Pro 6305 – all form factors
HP EliteDesk Series Business PC 600 G1, 800 G1
HP EliteOne All-in-One Business PC 800 G1
HP ProDesk Business Series Desktops 400 G1, 600 G1
HP ProOne All-in-One Business PC 400 G1, 600 G1
HP Workstations xw4600, xw6600, xw8600, Z1, Z1 G2, Z200, Z200 SFF, Z210, Z210 SFF, Z230 SFF, Z230 Tower, Z400, Z420, Z600, Z620, Z800, Z820
Notebooks & Tablets Models
Compaq nc Series Notebook 2400, 4200, 4400, 6320, 6340, 6400, 8240, 8430
Compaq nw Series Mobile Workstation 8440, 9440
Compaq nx Series Notebook 6310, 6315, 6325, 7300, 7400, 9420
Compaq Presario Series C7, CQ32, CQ35, CQ36, CQ40, CQ41, CQ42, CQ43, CQ45, CQ57, CQ60, CQ60Z, CQ61, CQ62, CQ70, CQ71, CQ72, F7, V6
Envy Series All Models
HDX Series 16t, 18t
HP Compaq 2000 Series Notebooks 2510p, 2710p
HP Compaq 6000 Series Notebooks 6510b, 6515b, 6520s, 6530b, 6530s, 6535b, 6535s, 6710b, 6710s, 6715b, 6715s, 6720s, 6730b, 6730s, 6735b, 6735s, 6820s, 6830s, 6835s, 6910p, 6930b, 6930p
HP Compaq 8000 Series 8510p, 8510w, 8710p, 8710w, 8740w
HP Compaq Tablet PC TC1100, TC4200, TC4400
HP Elite Series (EliteBook and ElitePad) 1040 G1, 2170p, 2530p, 2540p, 2560p, 2570p, 2730p, 2740p, 2760p, 6930p, 820 G1, 840 G1, 8440p, 8440w, 8460p, 8460w, 8470p, 8470w, 850 G1, 8530p, 8530w, 8540p, 8540w, 8560p, 8560w, 8570p, 8570w, 8730w, 8740w, 8760w, 8770w, 9470m, ElitePad 900, Revolve 210 G2, Revolve 810 G1
HP Folio Series (Ultrabook) 13
HP Laptop g4, G42, g6, G60, G61, G62, g7, G70, G71, G72, HP 2000, HP 430, HP 630, HP/Compaq 435
HP Notebook PC 240, 240 G2, 242, 245, 245 G2, 250, 250 G2, 255, 255 G2, 3115m, 3125, 450, 455, 650, 655
HP Slate Tablet PC HP Slate 2, HP Slate 500
HP Spectre Series 13 X2, XT Pro
HP ZBook Mobile Workstation 14, 15, 17
Mini 1103, 1104, 2102, 2133, 2140, 5101, 5102, 5103
Pavilion dm Series dm1, dm3, dm4
Pavilion dv Series dv2, dv3, dv4, dv5, dv6, dv7, dv8, dv9, tx1, tx2
ProBook 4230s, 430, 4310s, 4320s, 4330s, 4331s, 4340s, 4341s, 440, 440 G1, 4415s, 4425s, 4430s, 4431s, 4435s, 4436s, 4440s, 4441s, 4445s, 4446s, 445 G1, 450 G1, 4510s, 4520s, 4525s, 4530s, 4535s, 4540s, 4545s, 455, 455 G1, 470, 470 G1, 4710s, 4720s, 4730s, 4740s, 5310m, 5320m, 5330m, 6360b, 640 G1, 6440b, 6445b, 645 G1, 6450b, 6455b, 6460b, 6465b, 6470b, 6475b, 650 G1, 6540b, 6545b, 655 G1, 6550b, 6555b, 6560b, 6565b, 6570b
Other Models
Compaq Media Player MP8000 Elite, MP8200 Elite
HP Compaq Multi-Seat MS6000 Pro, MS6200 Pro, MS6200 SFF
Mobile Thin Client HP MT 40 Mobile Thin Client
RPOS HP RP3 3100, HP RP7 Retail System, Model 7800, rp3000, rp5700, rp5800
lenovo
Desktop Workstations Models
ThinkStation E20, E30, E31
Desktops & All In One Models
ThinkCentre A Series 58, 61, 61e, 70, 70z
ThinkCentre M Series 57, 57e, 57p, 58, 58e, 58p, 70e, 71e, 71z, 72e, 73, 77, 78, 81, 82, 90p, 90z, 91p, 92p tiny, 92z, 93, 93p
Notebooks & Tablets Models
Essentials B430, B4450s, B480, B490, B560, B580, B590, E49, K49, K490s, M4400, M490, M490s, M495, V480, V490, V490u, V580, V580c
IdeaPad 3000, Flex 14, N580, P580, P585, S10, S10e, S300, S400, S9e, U260, U300(s), U310, U330 Touch, U400, U410, U430 Touch, U510, U530 Touch, Y480, Y510p, Yoga 11, Yoga 13, Yoga 2 Pro, Z565
ThinkPad Edge Series 11, 13, 14, 15, E10, E120, E125, E130, E220s, E30, E31, E320, E325, E335, E40, E420, E420s, E425, E430, E430c, E431, E49, E50, E520, E525, E530(c), E531, E535, S230u, S430, Twist
ThinkPad G Series G470, G480, G50, G550, G560, G570, G580, G780
ThinkPad L Series 410, 412, 420, 421, 430, 440, 510, 512, 520, 530, 540
ThinkPad R Series 400, 500, 51e, 52, 60, 60e, 61, 61e, 61i
ThinkPad SL Series 300, 400, 400c, 410, 500, 500c, 510
ThinkPad T Series 400, 400s, 410, 410i, 410s, 410si, 420, 420i, 420s, 420si, 43, 430, 430s, 430u, 431s, 43p, 440, 440p, 440s, 500, 510, 510i, 520, 520i, 530, 540p, 60, 60p, 61, 61p
ThinkPad Tablet & Hybrid Helix, Tablet 2, Tablet (Android), ThinkPad Yoga
ThinkPad W Series Mobile Workstation 500, 510, 520, 530, 540, 700, 700ds, 701, 701ds
ThinkPad X Series 100e, 11e, 120e, 121e, 130e, 200, 200 Tablet, 200s, 201, 201 Tablet, 201i, 201s, 201si, 220, 220 Tablet, 220i, 220i Tablet, 230, 230 Tablet, 240, 300, 301, 41, 41 Tablet, 60, 60 Tablet, 60s, 61, 61 Tablet, 61s, X1, X1 Carbon, X1 Carbon Touch, X131e, X141e
motion
Notebooks & Tablets Models
Tablet PC C5t, C5te, C5v, CL900, CL910, F5t, F5te, F5v, J3500, J3600, R12
panasonic
Notebooks & Tablets Models
Toughbook Business-Rugged C1, F8, F9, S10, SX2, T5, T7, T8, W5, W7, W8, Y5, Y7
Toughbook Fully-Rugged 19, 30, 31
Toughbook Semi-Rugged 52, 53, 74, 74-E or higher, C2
Toughbook Ultra-Mobile-Rugged H1, H2, U1
Toughbook Vehicle-Mounted PDRC
Toughpad 4K, FZ-G1, FZ-M1
samsung
Smartphones, Notebooks & Tablets Models
ATIV Book 2 Notebooks NP200
ATIV Book 3 Notebooks NP300, NP305, NP350
ATIV Book 4 Notebooks NP400
ATIV Book 5 Notebooks NP500, NP530, NP535, NP550
ATIV Book 6 Notebooks NP600
ATIV Book 7 Notebooks NP700
ATIV Book 9 Notebooks NP900
Galaxy & ATIV Tablets ATIV XE700 T1C Pro, Galaxy Note 2014 Edition (10.1), Galaxy Note Pro (12.2), Galaxy Tab 3 (10.1), Galaxy Tab 3 (7.0) (AT&T, Sprint, T-Mobile), Galaxy Tab 4 (10.1, 8.0), Galaxy Tab 4 Education, Tab Pro (12.2, 10.1, 8.4)
Galaxy Smartphones Mega 6.3 (AT&T, Sprint, US Cellular), Note 3, S4, S4 Active, S4 Mini, S5
toshiba
Notebooks & Tablets Models
Portege R830, R835, R930, R935, Z830, Z835, Z930, Z935
Qosmio F750, F755, X770, X775, X870, X875
Satellite C650, C840, C850, C855, C870, L730, L740, L750, L770, L830, L840, L850, L855, L870, L875, P750, P770, P840, P850, P855, P870, P875, R845, R945, S850, S855, S870, U840
Satellite Pro C660, C665, C850, C870, L750, L770, L830, L850, L870, R850
Tecra A11, R840, R850, R940, R950
xplore
Notebooks & Tablets Models
IXC104C4 All models except IXC104M Military version

Déjà, pour vérifier si Computrace est présent sur votre ordinateur, vous pouvez lancer HijackThis et vérifier si l’un des processus suivants est lancé :

  • rpcnet.exe
  • rpcnetp.exe
  • 32 bitsvchost.exe (tournant sur un OS en 64 bits)

Si les fichiers sont présents sur votre disque dur :

  • %Windir%\system32\rpcnet.exe
  • %Windir%\system32\rpcnetp.exe
  • %Windir%\system32\wceprv.dll
  • %Windir%\system32\identprv.dll
  • %Windir%\system32\Upgrd.exe
  • %Windir%\system32\autochk.exe.bak (FAT)
  • %Windir%\system32\autochk.exe.bak (NTFS)

Si vous voyez passer des requêtes DNS vers ces adresses :

  • search.namequery.com
  • search.us.namequery.com
  • search64.namequery.com
  • bh.namequery.com
  • namequery.nettrace.co.za
  • search2.namequery.com
  • m229.absolute.com ou toute m *. absolute.com

Si votre système se connecte à l’adresse IP suivante : 209.53.113.223

Si les clés suivantes sont présentes en base de registre :

  • HKLM\System\CurrentControlSet\Services\rpcnet
  • HKLM\System\CurrentControlSet\Services\rpcnetp

Mais alors ? Comment s’en débarrasser ?

Et bien malheureusement, il n’y a pas de solution miracle. Le plus sain est de changer de carte mère avec si possible un BIOS libre non signé comme Coreboot. Autrement, une autre solution qui ne dégage pas Computrace, mais qui permet de bloquer les connexions de l’agent, c’est d’entrer les URL ci-dessus dans votre fichier Hosts en les faisant pointer vers votre adresse localhost (127.0.0.1).

Autrement, je n’ai pas de solution pour le moment, mais si vous avez d’autres infos, je suis preneur.

L’avenir est sombre avec ce genre de choses surtout qu’Absolute n’est pas le seul sur ce marché. Des technologies similaires existent sous le nom de FailSafe dans les BIOS de Phoenix Technologies (en mode SMM avec tous les privilèges) et sous le nom de VPro sur les puces Intel.

Elles fonctionnent de manière totalement indépendante, sont persistantes, peu importe l’OS présent sur la machine et surtout elles sont capables d’exploiter le matos directement (carte WiFi, GPS…etc.). Le pire là-dedans, c’est que même si votre ordinateur est éteint, ça peut fonctionner. Vous ne me croyez pas ? Allez lire la doc d’Intel.

Il est scandaleux que les constructeurs intègrent ce genre de choses dans leurs ordinateurs surtout sans en informer leurs clients et pour le moment, on ne connait pas encore l’étendue des dégâts. Mis à part les PC, Computrace est aussi présent sur les appareils mobiles et les Mac, donc j’imagine le pire. Malheureusement, aucune étude sur Android ou iOs n’a été réalisée à ce jour pour savoir si Computrace y était implanté par défaut comme c’est le cas sur les PC.

Même chose avec Linux même si on sait que l’agent est dispo sous Linux et tourne sur  RedHat 6, Ubuntu 10, Mint 9, openSuse 11, CentOS 5, Fedora 13 et Debian 5. On ne sait pas, par contre si le module présent dans le BIOS est capable de détecter la présence d’un Linux et d’installer le binaire équivalent à rpcnet.exe qui va bien.

Computrace travaille-t-il avec des agences de renseignement et des gouvernements ?  Des attaques exploitant Computrace ont-elles déjà eu lieu ? Impossible à savoir pour le moment.

La seule réponse possible pour le moment, face à ce genre de chose est d’aller gueuler dans les oreilles de votre constructeur et d’opter pour du matériel libre. Mais malheureusement, cela doit représenter 0,0001% du parc de machines, tous types confondus et c’est encore très difficile à trouver pour les utilisateurs lambda. Il est aussi probable qu’installer Linux bloque le fonctionnement de Computrace même si celui-ci est présent dans le BIOS mais ce n’est qu’une supposition.

Sources :

Merci au gentil lecteur qui m’a informé de ce scandale.

Publicités
Publié dans Techno

Tous pistés

Les possesseurs d’un smartphone Android (le système d’exploitation de Google) ne le savent peut-être pas, mais leur téléphone est un vrai mouchard. A travers l’option « Location history », le GPS du mobile enregistre absolument tous les déplacements (et leur mode de transport) au jour le jour. Aussi, si vous souhaitez savoir ce que vous faisiez il y a tout pile un an, c’est possible l’auteur de ces lignes réalise ainsi qu’il revenait d’un agréable week-end à Amsterdam. Branché par défaut, le système se désactive sur ce lien.

https://i0.wp.com/images.telerama.fr/medias/2017/06/media_159992/google-arrete-de-lire-vos-mails-mais-continue-a-faire-tant-d-autres-choses,M465525.JPG

Publié dans Société, Techno

Des millions de smartphones sous Android touchés par le malware Judy

D’après Check Point, spécialiste de la sécurité informatique, environ 50 applications du Play Store seraient concernées par le malware Judy. Celles-ci contiendraient un code qui transmet l’infection aux terminaux, les renvoyant sur une page web qui génère des clics frauduleux sur les annonces du site en question. De cette manière, les créateurs empochent de l’argent.

Ce genre de pratique est malheureusement assez courante, comme le rappelle Andrew Smith de l’Open University :

Il existe une multitude d’outils à portée de main qui peuvent être modifié à distance par ceux qui sont à l’origine de ces logiciels malveillants, venant ainsi fragiliser les logiciels anti-malware.

Un malware nommé Judy

Les applications infectées ont été supprimées du Play Store, 40 d’entre elles étaient éditées par Enistudio et développées par le studio de jeux coréen Kiniwini. Téléchargés entre 4 et 18 millions de fois, les jeux avaient en commun un personnage nommé Judy, prêtant ainsi son nom à celui du virus. Le nombre d’utilisateurs touchés est évalué entre 8,5 et 36,5 millions.

Check Point a déclaré par ailleurs qu’il ne savait pas depuis combien de temps ces versions malveillantes des applications étaient disponibles. Une chose est sûre en revanche, tous les jeux avec Judy avaient été mis à jour dans le courant du mois de mars de cette année.

Source

Publié dans Société, Techno

Cyberattaque géante : au moins 74 pays touchés, les pirates toujours pas identifiés

Cyberattaque géante : au moins 74 pays touchés, les pirates toujours pas identifiés

Les hôpitaux britanniques, le constructeur automobile français Renault et le système bancaire russe ont notamment été touchés

Des ordinateurs dans des dizaines de pays ont été touchés vendredi par une attaque informatique « sans précédent », affectant le fonctionnement de nombreuses entreprises et organisations. Voici ce que l’on sait sur cette attaque.

Que s’est-il passé ?

De la Russie à l’Espagne et du Mexique au Vietnam, des dizaines de milliers d’ordinateurs, surtout en Europe, ont été infectés vendredi par un logiciel de rançon exploitant une faille dans les systèmes Windows, divulguée dans des documents piratés de l’agence de sécurité nationale américaine NSA.

Le logiciel malveillant, surnommé « Wannacry« , verrouille les fichiers des utilisateurs et les force à payer une somme d’argent sous forme de monnaie virtuelle bitcoin, difficile à tracer, pour en recouvrer l’usage: on l’appelle le « rançongiciel ».

Combien de pays touchés ?

Plusieurs dizaines de pays ont été touchés mais il est difficile de savoir combien précisément. Selon l’entreprise de sécurité informatique finlandaise F-Secure, 130 000 systèmes basés dans une centaine de pays ont été infectés. Autre firme de sécurité informatique, Kaspersky Lab a recensé 74 pays touchés, principalement la Russie, mais la visibilité du virus « peut être limitée ou incomplète ».

Parmi les principales cibles figurent les hôpitaux britanniques, l’entreprise de téléphonie espagnole Telefonica, le constructeur automobile français Renault, la société américaine de livraison de colis Fedex, le ministère russe de l’Intérieur ou la société des chemins de fer allemands Deutsche Bahn.

Comment l’attaque s’est-elle répandue ?

Selon des experts en informatique, le virus fonctionne avec des dizaines de langages, ce qui montre la volonté des pirates de s’en prendre à des réseaux dans le monde entier. La société Kaspersky rappelle que le logiciel malveillant a été publié en avril par le groupe de pirates « Shadow Brokers », qui affirment avoir découvert la faille informatique dans des documents volés à la NSA.

Mikko Hypponen, chef de la société de sécurité informatique F-Secure, note que la Russie et l’Inde ont été particulièrement touchées parce que beaucoup de réseaux et ordinateurs dans ces deux pays tournent encore avec le logiciel Windows XP.

Qui est derrière ces attaques ?

Pour le moment les pirates n’ont pas été identifiés.

Comment protéger son ordinateur ?

Initiative inhabituelle, Microsoft a décidé de réactiver une mise à jour de certaines versions de ses logiciels pour contrer ce type d’attaque. Le virus s’attaque notamment à la version Windows XP, dont Microsoft n’assure plus en principe le suivi technique. Le nouveau logiciel d’exploitation (OS) Windows 10 n’est pas visé par l’attaque, souligne Microsoft. Kaspersky a dit vouloir développer un outil de décryptage « dès que possible ».

Combien demandent les pirates ?

Les victimes se voient demander 300 dollars sous trois jours, sinon la rançon double. La somme n’est pas énorme mais étant donnée l’ampleur de l’attaque, la somme totale pourrait être importante. Experts et autorités conseillent de ne pas payer, car il n’est pas sûr de pouvoir récupérer ses fichiers par la suite.

L’ancien hacker espagnol Chema Alonso, devenu responsable de la cybersécurité de Telefonica, a estimé samedi sur son blog que malgré « le bruit médiatique qu’il a produit, ce « ransomware » n’a pas eu beaucoup d’impact réel » car « on peut voir que sur le portefeuille bitcoin utilisé le nombre de transactions » est faible. Selon le dernier décompte, assure-t-il, seulement « 6 000 dollars ont été payés » aux rançonneurs dans le monde.

Source

Publié dans Techno

Les soldats-robots viennent gonfler les rangs de l’armée

Atlas, robot de type androïde développé par Boston Dynamics en relation avec  la Defense Advanced Research Projects Agency (DARPA)

Le marché des drones terrestres a explosé. Pour “LSD, La Série Documentaire” sur France Culture, Maylis Besserie enquête sur ces nouvelles recrues cuirassées.

L’Histoire retiendra qu’un homme a été liquidé pour la première fois par un robot à Dallas, le 8 juillet 2016. Equipé d’un dispositif explosif, la machine télécommandée par les forces de l’ordre a littéralement pulvérisé le sniper à l’origine d’une fusillade mortelle. Jeudi, dans La Série Documentaire de France Culture (consacrée toute la semaine aux robots), Maylis Besserie se penche sur cette révolution dont les avancées technologiques inquiètent désormais la communauté internationale. Le marché des drones terrestres a explosé avec 1,7 milliards de dollars en 2014, il devrait atteindre 19 milliards d’ici 2020. Dans un rapport publié cette année, l’ONG Human Rights Watch s’alarmait  : « Il est moralement inacceptable de déléguer la décision de vie ou de mort à des machines ». Créatures fantasmées ou diabolisées, elles sont au cœur de débats éthiques.

Porter des blessés ou apporter des munitions

La productrice a suivi les scientifiques du Centre français de recherche aérospatiale sur le terrain d’expérientations pour mesurer l’étendu des progrès. Sans basculer dans le sensationnel ni se montrer alarmiste, elle passe en revue quelques-uns de ces robots en activité. Les modèles aériens les plus imposants peuvent atteindre cent kilos. Leurs missions : assurer la surveillance et la reconnaissance des sites avant de permettre aux fantassins de s’engager sur un axe. Les machines au sol sont davantage destinées à transporter du matériel et escorter les soldats sur des zones sensibles. Ils peuvent aussi porter des blessés ou apporter des munitions aux combattants.

D’ailleurs, les trois forces de l’ordre d’intervention française (BRI, Raid, GIGN) disposent déjà de robots. Les sapeurs-pompiers de Paris en possèdent un spécimen baptisé Colossus, un drone chenillé d’un mètre de haut flanqué d’un canon à eau est envoyé sur les sites à risques élevés. Des militaires ont même testé des exo-squelettes. Ces combinaisons robotisées leurs permettent d’avoir une puissance bionique avec des capacités physiques décuplées. A la pointe dans ce domaine, la firme Boston Dynamics a d’ores et déjà mis au point de fabuleux bipèdes dotés de performances exceptionnelles en terme d’agilité et de rapidité ! De laboratoires de recherche en site d’entraînement, Maylis Besserie montre au fil de ses interviews — enveloppées de musiques dignes d’une BO de film de science-fiction — que l’image de Terminator n’a pas fini de hanter les esprits.

Source

Publié dans Techno

Hadopi : comment fonctionne l’indemnisation des FAI qui identifient les pirates

hadopi

Le gouvernement publie un arrêté qui complète un décret pris à la mi-mars. Il précise en particulier les montants prévus pour indemniser les opérateurs qui identifient les internautes suspectés de télécharger des œuvres sur les réseaux P2P.

Les tarifs d’identification des adresses IP par les fournisseurs d’accès à Internet dans le cadre de la riposte graduée sont désormais connus. En effet, un arrêté daté du 23 mars a été publié six jours plus tard au Journal officiel : il précise le montant du dédommagement auquel les opérateurs ont droit, notamment en fonction du volume des requêtes traitées chaque année.

Deux cas de figure sont prévus : si le FAI traite plus de 10 000 demandes par an et s’il n’atteint pas ce seuil.

Plus de 10 000 identifications par an

Pour les fournisseurs d’accès à Internet traitant annuellement 10 000 identifications, un forfait de 80 000 euros est prévu. Celui-ci est fixe, qu’importe si l’opérateur doit gérer 11 000, 300 000 ou même deux millions d’adresses. Selon le décret publié mi-mars par le gouvernement, cette somme vise à compenser les surcoûts relatifs à l’identification des internautes qui piratent sur Internet (ou, très précisément, les internautes accusés de ne pas avoir correctement essayé d’empêcher le piratage sur leur abonnement : il s’agit de la négligence caractérisée).

Ces coûts concernent :

  • la conception et le déploiement des systèmes d’information ou, le cas échéant, leur adaptation, nécessaires au traitement des demandes d’identification des abonnés ;
  • le fonctionnement et la maintenance des systèmes d’information nécessaires au traitement des demandes d’identification des abonnés.

À ce mécanisme s’ajoutent les surcoûts de personnel.

Lorsqu’une demande de masse a lieu via le traitement dénommé « système de gestion des mesures pour la protection des œuvres sur Internet », il faut compter 160 euros. Chaque demande de masse en vue de « rechercher sommairement dans le système d’information les éléments d’identification relatifs aux abonnés » ne peut pas excéder 40 000 adresses IP.

Quant aux demandes complémentaires destinées à « vérifier et préciser les éléments complémentaires d’identification relatifs à un abonné », il faut compter 18 euros par intervention.

Moins de 10 000 identifications par an

Pour les opérateurs ayant à gérer moins de 10 000 demandes d’identification par an, les montants sont de 12 euros pour la recherche sommairement les éléments d’identification relatifs à un abonné et de 18 euros pour la vérification et la précision des éléments complémentaires d’identification relatifs à un abonné.

Ces sommes visent à couvrir es surcoûts liés au fonctionnement et à la maintenance des systèmes d’information nécessaires au traitement des demandes d’identification des abonnés, ainsi que les surcoûts de personnel liés au traitement des demandes d’identification des abonnés.

Un seuil assez bas

Le cap des 10 000 demandes d’identification sera assurément franchi chaque année par les principaux fournisseurs d’accès à Internet que sont Orange, Free, SFR et Bouygues Telecom. Il suffit en effet de voir les statistiques de la riposte graduée, qui a dépassé en début d’année les 8,12 millions de mails d’avertissements, les 739 000 courriers en recommandé et les 5 945 constats de négligence caractérisée en troisième phase de la procédure.

En outre, l’arrêté précise que « lorsque plusieurs personnes morales offrent un accès à des services de communication au public en ligne sous une même dénomination commerciale, le dépassement du seuil […] s’apprécie compte tenu du nombre cumulé de demandes dûment traitées, au cours d’une année civile, par ces personnes ». Au passage, ces personnes morales ne peuvent pas non plus prétendre à plusieurs versements forfaitaires annuels.

Mieux vaut tard que jamais

Avec la riposte graduée, les opérateurs ont l’obligation de transmettre à la Hadopi l’identité de leurs abonnés qui ont été repérés en train d’échanger des contenus sous droit d’auteur sur les réseaux P2P. Ce travail de repérage est effectué par Trident Media Guard, une firme nantaise qui est mandatée par les ayants droit pour collecter les adresses IP de deux qui sont suspectés d’enfreindre le droit d’auteur.

Des années durant, l’exécutif a refusé d’indemniser les FAI pour leur rôle dans l’usine à gaz qu’est la riposte graduée. Mais la publication récente du décret et de l’arrêté permet aujourd’hui de décharger au moins partiellement cette dépense des épaules des opérateurs, dans la mesure où c’est désormais la Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet qui doit l’assumer.

L’arrivée du décret et de l’arrêté remet en tout cas ce dispositif dans les clous du Conseil constitutionnel. Le 28 décembre 2000, celui-ci avait publié une décision dans laquelle il explique que « le concours apporté à la sauvegarde de l’ordre public, dans l’intérêt général de la population, est étranger à l’exploitation des réseaux de télécommunications ». Dès lors, « les dépenses en résultant ne sauraient dès lors, en raison de leur nature, incomber directement aux opérateurs ».

Source

Publié dans Techno

Effacer l’historique de recherche sur Facebook

https://lejournaldesmartines.files.wordpress.com/2011/12/facebook-spy.jpg?w=840

Si vous en avez assez que Facebook garde en mémoire tout ce que vous faîtes et que vous souhaitiez rester discret, voici un moyen très simple pour effacer l’historique de votre recherche Facebook.

1) Tout d’abord rendez-vous sur votre profil Facebook.

2) Ouvrez votre Historique personnel.

3) Sur la colonne de gauche, sous les Mentions J’Aime et les Commentaires cliquez sur « Plus » puis sur « Rechercher ».

Vous accédez ainsi à l’historique de vos recherches. Une liste(quasi) infinie de vos recherches depuis que vous vous êtes créé un compte. Pour l’effacer, rien de plus simple : cliquez sur « Effacer les recherches » .

Vous voilà protégé des curieux. Enfin au moins sur Facebook.

Une astuce simple et pratique qui pourrait vous être très utile au moment où Facebook met à jour sa barre de recherche qui sera désormais « intelligente » en vous proposant des résultats adaptés.

 

Publié dans Techno

Blackbird – Un outil pour récupérer des performances, de la vie privée et de la sécurité sous Windows

Voici encore un utilitaire qui va vous permettre en un click de rendre votre Windows 10 un peu plus propre. Blackbird va désactiver pour vous des choses comme OneDrive, Cortana, Bing, le fameux Wifi Sense, et bien sûr tout ce qui envoie des données à Microsoft.

Il va aussi désactiver le partage des mises à jour en P2P, les services Xbox Live, les pubs dans le menu Démarrer, les popups de mise à jour reloues, boucher quelques failles qui permettent la fuite de données via Edge et Defender et même supprimer les identifiants uniques qui permettent de différencier votre installation Windows d’un autre.

Au-delà de la vie privée et de la sécurité, il va aussi appliquer quelques tweaks pour que votre connexion réseau soit encore plus rapide.

Bref, c’est du bon

Après si certaines choses vous intéressent, mais que vous ne voulez pas en désactiver d’autres, sachez que Blackbird peut aussi être utilisé en ligne de commande, à la carte. Voici les options proposées :

blackbird -v = Verbose Mode. Displays additional information on all changes as they’re being made.
blackbird -s = Silent Mode. No additional user interaction required, good for scripts blackbird -r = Recovery Mode. Restores all values changed by Blackbird to default Microsoft values.
blackbird -std = Run Blackbird in STD mode (see below).
blackbird -scan = A full privacy scan of your system.
blackbird -kc = Kill Cortana completely (prevent searchUI.exe from loading) blackbird -ke = Kill Microsoft Edge blackbird -kf = Kill Windows Feedback/ContactSupport blackbird -kl = Kill Lockscreen blackbird -kall = Kill all System Apps blackbird -noupdate = Skip blacklisted Windows update removal.
blackbird -nohost = Skip host blocking.
blackbird -nospeed = Skip system optimizations blackbird -o = Enable OneDrive.
blackbird -p = Enable Diagnostic Policy service.
blackbird -t = Enable Sensors / Auto-screen rotation on tablets.
blackbird -x = Enable Xbox Live services.
blackbird -l = Fix LAN connectivity problems after using Blackbird.
blackbird -a = Disable SmartScreen application checking.
blackbird -b = Disable Runtime Broker (will cause most UWP/Metro apps to not work).
blackbird -c = Disable bacground access for all default system apps.
blackbird -d = Disable Windows Defender.
blackbird -e = Disable SMB over NetBIOS (close listening port 445).
blackbird -f = Disable most used apps displayed in Start menu.
blackbird -h = Disable Hibernation (deletes hiberfil.sys file from root).
blackbird -u = Disable automatic installation of updates / Sets to manual download and install only.
blackbird -m = Disable automatic installation of Malicious Removal Tool updates.
blackbird -n = Remove Blackbird network blocks.
blackbird -? = Displays help information.

Le mode veerbose vous permettra de savoir exactement ce qui est modifié sur votre machine, mais pensez quand même à faire un backup avant, on ne sait jamais. L’outil est assez souple pour permettre à tous de s’y retrouver ou pour être utilisé dans le cadre d’un parc machines.

Vous pouvez le télécharger ici et pour en savoir plus, je vous invite à lire la doc.

Source