Tracer Absolute Computrace

Posted On 22 Mai 2014

Tag: Detector, phrozen, Software Computrace, Spyware

En février dernier, nous vous parlions dans les colonnes de l’ancienne version de zataz.com (retrouvez les archives depuis 1996 ICI) d’Absolute Computrace. A l’époque, nous vous révélions comment l’équipe de chercheurs en sécurité de Kaspersky Lab avait dévoilé les faiblesses d’implémentation du logiciel antivol commercialisé par Absolute Software. Un outil qui transforme un précieux outil de protection en un puissant instrument de cyberattaques. L’attaque se focalise sur l’agent Absolute Computrace résidant dans le firmware (ROM BIOS) de modèles récents de PC portables ou de bureau. En effet, cette configuration laisse aux attaquants libre accès aux ordinateurs de millions d’utilisateurs.

La principale motivation de cette étude a été la découverte d’un agent Computrace s’exécutant sans autorisation préalable sur plusieurs ordinateurs personnels de chercheurs de Kaspersky Lab ou machines de la société. Si Computrace est un logiciel développé par Absolute Software, certains utilisateurs affirment ne l’avoir jamais installé ou activé sur leur système, voire en ignorer totalement l’existence. La plupart des logiciels préinstallés peuvent être supprimés ou désactivés par l’utilisateur, or Computrace est conçu pour résister à un nettoyage du système et même à un remplacement du disque dur.

L’utilisateur peut prendre par erreur Computrace pour un logiciel malveillant. En effet, il recourt à de nombreuses techniques couramment employées par les malwares modernes, destinées à empêcher le débogage et la rétro-ingénierie ; injecter d’autres processus dans la mémoire ; établir des communications secrètes ; modifier des fichiers systèmes sur le disque ; crypter des fichiers de configuration ou encore extraire un exécutable Windows du firmware (BIOS). « Des individus disposant de la puissance nécessaire pour intercepter les communications sur les fibres optiques peuvent potentiellement pirater des ordinateurs sur lesquels fonctionne Absolute Computrace. Ce logiciel peut servir à implanter des spywares », avertit Vitaly Kamluk, chercheur principal en sécurité au sein de l’équipe internationale de chercheurs et d’analystes (GReAT) de Kaspersky Lab. « Nous estimons qu’Absolute Computrace est actif sur plusieurs millions d’ordinateurs, et ce peut-être à l’insu d’un grand nombre d’utilisateurs. Qui a des raisons d’activer Computrace sur toutes ces machines ? Sont-elles surveillées par des inconnus ? Il y a là un mystère qu’il nous faut éclaircir. »

Capture

150.000 machines plombées

L’agent Computrace fonctionnerait sur les machines d’environ 150.000 utilisateurs. Le nombre total d’utilisateurs chez qui l’agent Computrace est activé est estimé à plus de 2 millions. Le doute subsiste quant à la proportion de ces utilisateurs qui sont au courant de la présence de Computrace sur leur système. La majorité de ces ordinateurs se trouvent aux États-Unis et en Russie. Le protocole réseau utilisé par le logiciel Computrace Small Agent offre des fonctionnalités de base pour l’exécution de code à distance. Ce protocole n’exige ni cryptage ni authentification du serveur distant, ce qui crée de multiples possibilités d’attaques télécommandées dans un environnement réseau hostile.

Tracer un traceur sachant tracer

Bref, un logiciel qui pourrait se retourner contre ses utilisateurs. Jean-Pierre Lesueur, un informaticien et chercheur en sécurité informatique propose un outil qui détecte, si oui ou non, votre machine est en danger face à l’utilisation malveillante de Computrace. Baptisé Phrozen Software Computrace Spyware Detector, en quelques secondes, vous saurez si votre machine et votre vie privé sont en danger.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.