Computrace – Le mouchard universel présent sur de nombreux PC Windows
Il s'installa automatiquement via le BIOS. Je n'ai pas vérifié l'information, cela me semble un peu gros.

Voci l'article de Korben :

La société Kaspersky, spécialisée dans la détection et l'élimination de malware a débusqué il y a quelques mois un logiciel installé sur plus de 2 millions d'ordinateurs de par le monde qui est commercialisé par la société Absolute et qui permet OFFICIELLEMENT :
- De sécuriser les données d'un parc de postes à distance
- De déployer toujours à distance des mises à jour, des licences ou de lancer des audits
- De géolocaliser des ordinateurs volés
- De produire des rapports concernant les machines
- De récupérer des fichiers
- D'effacer à distance des documents ou tout le disque dur

Et qui est OFFICIEUSEMENT un trou béant dans la sécurité de votre ordinateur, car il peut être utilisé par un attaquant pour faire ce qu'il veut sur votre PC.

Le plus flippant là dedans, c'est qu'après les révélations de Kaspersky, personne ou presque n'en a parlé dans la presse ou sur les sites spécialisés. Bouuuh !


L'histoire de la découverte :

La femme d'un des chercheurs de Kaspersky a constaté des plantages et des ralentissements sur son ordinateur. Elle l'a donc confié à son mari qui a commencé à analyser la bestiole, pensant y trouver un virus connu. Il est alors tombé sur des dll et des processus appartenant au logiciel Absolute Computrace.

Jusque là, rien de vraiment anormal puisque Absolute Computrace et son équivalent grand public LoJack sont vendus à des tas de sociétés pour que les administrateurs puissent suivre à la trace les machines, lancer des audits, faire des mises à jour...etc., le tout à distance.

Seulement, l'employeur de la dame n'avait jamais entendu parler de ce logiciel. Les chercheurs de Kaspersky ont alors commencé à regarder autour d'eux et se sont rendu compte qu'il y avait exactement le même logiciel installé sur leurs ordinateurs du boulot et leurs ordinateurs personnels.


Installé dans le BIOS avec installation automatique sous Windows :

Ils ont alors mené une enquête plus approfondie et voici ce qu'ils ont découvert. Computrace se divise en 3 modules présents dans l'option ROM PCI qui est chargée ensuite par le BIOS de la machine.
- Computrace Loader Module : Module de chargement lu par le BIOS et capable d'appeler le module d'installation.
- Agent Installation Module : Module qui installe l'agent sur Windows.
- Agent : L'agent en lui-même qui est ensuite présent et fonctionnel sous Windows.



Cette "option" Computrace est normalement visible dans le BIOS des machines et est mise en place par le fabricant de l'ordinateur. Absolute est fière de compter parmi ses clients des constructeurs comme Acer, Apple, ASUS, Dell, Fujitsu, Gateway, HP, Lenovo, Microsoft, Panasonic, Samsung, Sony et Toshiba.

Il est normalement désactivable dans le BIOS mais pas dans tous, puisque certains des ordinateurs analysés par Kaspersky n'avaient même pas cette option visible dans le BIOS et contenaient pourtant l'agent Computrace.



L'intérêt d'une telle présence dans le BIOS de la machine, c'est la persistance du programme. Que vous réinstalliez, formatez ou changiez de disque dur, le tracker sera toujours présent. N'espérez pas pouvoir l'effacer en mettant à jour votre BIOS. Non, car il est présent dans une partie non modifiable et si vous flashez votre BIOS avec un nouveau firmware, il ne sera pas dégagé.




Voici comment il fonctionne :

Dès l'initialisation du BIOS, le module Computrace scanne les partitions FAT/FAT32/NTFS de la machine à la recherche du répertoire Windows. Il fait une copie de sauvegarde du logiciel autochk.exe et le remplace par sa propre version modifiée.

Autochk.exe ayant un accès complet aux fichiers et à la base de registre de Windows, cela permet à Computrace d'installer son agent rpcnetp.exe dans le répertoire System32 puis de l'enregistrer comme un service à lancer automatiquement à chaque démarrage.

Une fois que c'est fait, il restaure la sauvegarde de autochk.exe.

Rpcnetp.exe enregistre alors sa DLL rcpnetp.dll et l'injecte en mémoire. Un processus masqué utilisant iexplore.exe (Internet Explorer) est alors lancé et permet de communiquer avec le serveur de gestion de Computrace via des URL classiques (avec des POST et des GET). Passer par Internet Explorer permet d'utiliser les mêmes proxys et la même config que ceux de l'internaute. Des données sont envoyées et reçues entre cet agent et les serveurs d'Absolute, ce qui peut provoquer des ralentissements sur la machine.



Ce module télécharge alors un autre agent baptisé rpcnet.exe qui est un peu plus gros, mais qui se comporte sensiblement de la même manière que rpcnetp.exe. Il s’immisce dans le système et d'après Kaspersky, permet de donner un accès distant et complet à la machine sur laquelle il tourne. En gros, il s'agit d'un logiciel de tracking et de prise de contrôle à distance.

Computrace utilise les mêmes techniques de filou que les logiciels malveillants et cherche délibérèment à se cacher de l'utilisateur. La raison est d'éviter qu'un voleur de portable le remarque, et puisse masquer sa localisation ou bloquer Computrace.

Computrace marque aussi avec un ID unique la machine, ce qui permet de l'identifier de manière sûre.

En analysant les trames réseau échangées entre les agents et le serveur de gestion, Kaspersky a remarqué qu'il était possible à n'importe qui d'injecter à distance n'importe quel code afin de l'exécuter sur la machine. Le protocole utilisé n'étant pas chiffré, n'exigeant pas d'authentification de la part du serveur gestionnaire et les serveurs appelés l'étant via de simples URL, il est possible de faire croire à l'agent Computrace qu'il discute avec son serveur de gestion alors qu'il s'agit d'un attaquant qui a détourné quelques DNS. L'attaquant peut alors lancer du code sur la machine, accéder aux fichiers, récupérer les trames réseau..etc.


Potentiellement, tous les ordinateurs infectés par Computrace sont des botnets en puissance.

Kaspersky a aussi remarqué à plusieurs reprises que Computrace s'activait immédiatement sur des PC neufs.

Kaspersky a aussi contacté la société Absolute et leur a fourni des numéros de série de matériels qui contenaient l'agent Computrace. Absolute n'a aucune trace de ces appareils dans sa base de données. Cela signifie que Computrace a été activé sur ces machines par un autre canal que celui "officiel" d'Absolute. Jusqu'à aujourd'hui, ça reste un mystère.

D'après les sondes de Kaspersky, tous les constructeurs seraient touchés, ce qui est logique puisqu'ils sont partenaires d'Absolute :


On n'en connaît pas les raisons, mais les constructeurs l'ont mis en place sur leurs ordinateurs progressivement depuis 2005 sans avertir leurs clients. Et Computrace étant vulnérable à tout un tas d'attaques et de détournements, il s'agit là d'une véritable backdoor affaiblissant les ordinateurs sur lesquels il se trouve.


Cela soulève tout un tas de questions, parmi lesquelles :

- Pourquoi des PCs neuf se retrouvent avec Computrace activé d'office ? (et masqué dans certains BIOS)
- Pourquoi Absolute n'a aucune connaissance de certains appareils dont l'agent Computrace est actif ?
- Computrace est-il utilisé par des organismes gouvernementaux à l'insu d'Absolute, pour accéder à nos machines quand bon leur semble ? (Comprenez : La NSA a-t-elle quelque chose à voir là-dedans ?)

Pour cette dernière question, vu tout ce qu'on a appris durant cette année sur la surveillance globale (merci, Snowden), y compris durant l'affaire Heartbleed, on est en droit de penser que oui.


Alors, maintenant que faire ?

Déjà, pour vérifier si Computrace est présent sur votre ordinateur, vous pouvez lancer HijackThis et vérifier si l'un des processus suivants est lancé :
- rpcnet.exe
- rpcnetp.exe
- 32 bitsvchost.exe (tournant sur un OS en 64 bits)

Si les fichiers sont présents sur votre disque dur :
- %Windir%\system32\rpcnet.exe
- %Windir%\system32\rpcnetp.exe
- %Windir%\system32\wceprv.dll
- %Windir%\system32\identprv.dll
- %Windir%\system32\Upgrd.exe
- %Windir%\system32\autochk.exe.bak (FAT)
- %Windir%\system32\autochk.exe.bak (NTFS)

Si vous voyez passer des requêtes DNS vers ces adresses :
- search.namequery.com
- search.us.namequery.com
- search64.namequery.com
- bh.namequery.com
- namequery.nettrace.co.za
- search2.namequery.com
- m229.absolute.com ou toute m *. absolute.com

Si votre système se connecte à l'adresse IP suivante : 209.53.113.223

Si les clés suivantes sont présentes en base de registre :
- HKLM\System\CurrentControlSet\Services\rpcnet
- HKLM\System\CurrentControlSet\Services\rpcnetp


Mais alors ? Comment s'en débarrasser ?

Et bien malheureusement, il n'y a pas de solution miracle. Le plus sain est de changer de carte mère avec si possible un BIOS libre non signé comme Coreboot. Autrement, une autre solution qui ne dégage pas Computrace, mais qui permet de bloquer les connexions de l'agent, c'est d'entrer les URL ci-dessus dans votre fichier Hosts en les faisant pointer vers votre adresse localhost (127.0.0.1).

Autrement, je n'ai pas de solution pour le moment, mais si vous avez d'autres infos, je suis preneur.

L'avenir est sombre avec ce genre de choses surtout qu'Absolute n'est pas le seul sur ce marché. Des technologies similaires existent sous le nom de FailSafe dans les BIOS de Phoenix Technologies (en mode SMM avec tous les privilèges) et sous le nom de VPro sur les puces Intel.

Elles fonctionnent de manière totalement indépendante, sont persistantes, peu importe l'OS présent sur la machine et surtout elles sont capables d'exploiter le matos directement (carte WiFi, GPS...etc.). Le pire là-dedans, c'est que même si votre ordinateur est éteint, ça peut fonctionner. Vous ne me croyez pas ? Allez lire la doc d'Intel.

Il est scandaleux que les constructeurs intègrent ce genre de choses dans leurs ordinateurs surtout sans en informer leurs clients et pour le moment, on ne connait pas encore l'étendue des dégâts. Mis à part les PC, Computrace est aussi présent sur les appareils mobiles et les Mac, donc j'imagine le pire. Malheureusement, aucune étude sur Android ou iOs n'a été réalisée à ce jour pour savoir si Computrace y était implanté par défaut comme c'est le cas sur les PC.

Source : Korben, le 20 mai 2014

Le rootkit existe, comme le décrit notamment l'article de Kaspersky qui lui sert de principale source.

L'information plus douteuse, c'est qu'il soit activé par défaut, et sans action de la part de l'utilisateur, sur tous les modèles cités (la liste présente dans l'article de Korben est copiée-collée directement du site d'Absolute, qui ne semble pas vraiment le préciser).

Rappelons-nous que même s'il utilise des techniques semblables à celles d'un rootkit pour s'injecter dans le système, Computrace est une protection anti-vol, et non un malware.

Le service ne semble pas etre propose aux acheteurs, en fait pour en avoir le coeur net il faudrait une machine infectee et appeller le constructeur pour demander a beneficier du service, si ce n'est pas possible il y a clairement un pb.

De toute maniere les revelation recentes nous ont revele que des que c'etait techniquement possible, le pire avait ete mis en place.

J'avoue que meme parano je n'imaginais pas qu'on puisse espionner un ordi sans carte reseau (hors de l'ecran effectivement)

Je m'interroge sur les volumes annoncés.
Mon PC portable professionnel est dans la liste et j'avais désactivé l'option dans le BIOS (je ne connaissais pas Computrace à l'époque, je l'ai fait plus par instinct). Je n'ai trouvé aucun fichier ou process de Computrace sur mon PC. Kaspersky annonce entre 2300 et 5100 postes infectés en France. Kaspersky est un antivirus très répandu et la liste des modèles concernés est longue comme un jour sans pain. Si Computrace était effectivement activé par défaut, les chiffres devraient être bien plus élevés que les 2 millions annoncés !
Sur mon portable, j'ai bien l'option dans le BIOS. Par contre, sur un des postes de mon boulot (également dans la liste), il n'y a ni option dans le BIOS, ni présence des fichiers/process de Computrace.

Je reste donc un peu dubitatif sur cette annonce qui sent un peu le coup marketing. Il y a effectivement un risque, mais il est probablement nettement moins répandu qu'annoncé.

Le site d'Absolute dit que leur solution anti-vol est compatible avec Linux et OSX ; mais pour l'instant, je n'ai vu aucun article démontrer qu'elle s'injecte dans ces systèmes depuis le BIOS, de la même façon qu'avec Windows, donc je ne serais pas aussi affirmatif.

Bonjour

ViVien j'ai vérifié dans les fichiers de mon windows 7 et mon bios j'ai rien de tout ça.

BigBrother a d'autre moyen de nous observer.....