Or, on vient tout juste d’atteindre un autre niveau dans le domaine de la sécurité de l’information (ou de l’insécurité, c’est selon) : un logiciel installé dans environ deux millions de systèmes informatiques serait en fait une faille de sécurité ambulante.

Il est navrant de constater que des logiciels de sécurité peuvent être suspectés d’être de véritables failles de sécurité. En effet, à la base, Computrace serait probablement vu comme un service intéressant par plusieurs, du moment qu’il ne leur est pas poussé dans la gorge à leur insu, et tant et aussi longtemps qu’il ne met pas leurs données à risque.

Si elle n’est pas nouvelle, l’affaire a eu l’effet d’une petite bombe dans le milieu de la sécurité. Grosso modo, c’est le logiciel Computrace de la compagnie Absolute Software qui est en cause. Ce logiciel cherche officiellement à gérer un parc informatique de manière à fournir aux administrateurs des outils de gestion à distance. Il permet donc d’obtenir des informations sur les ordinateurs, de récupérer des fichiers, de déployer des logiciels, d’obtenir des journaux sur les activités et de géolocaliser les ordinateurs perdus ou volés.

De prime abord, c’est un outil de sécurité qui semble efficace et qui permet de faciliter la gestion des avoirs informatiques d’une entreprise.

Un comportement douteux

Le fonctionnement même du logiciel le rend très furtif. Sans trop s’attarder aux détails techniques, disons que le logiciel va se cacher dans le micrologiciel de l’ordinateur (ou firmware). Ainsi, même si l’utilisateur efface son disque dur, voire qu’il le change complètement, le logiciel demeure en place et va lancer une procédure de réinstallation du moment que «les conditions gagnantes sont en place» pour reprendre la fameuse expression politique.

Ainsi, du moment que le BIOS est lancé, Computrace fait des recherches dans les partitions FAT, FAT32 et NTFS pour trouver un répertoire Windows. Il fait une copie de sauvegarde du fichier AUTOCHCK.EXE – un logiciel qui permet de remettre en place des éléments importants de l’OS s’ils sont endommagés ou corrompus – et le remplace avec une version créée par Absolute Software. Comme AUTOCHCK.EXE donne un accès aux fichiers et à la base de registre de Windows, cela permet à Computrace d’installer une pièce de logiciel nommée RPCNETP.EXE dans le sous-répertoire SYSTEM32 du répertoire Windows. RPCNETP.EXE est ensuite enregistré comme étant un programme à lancer automatiquement au démarrage. Une fois que le tout est bien en place, il remet le fichier AUTOCHCK.EXE orignal en place.

Ensuite, RPCNETP.EXE va se créer une bibliothèque logicielle du nom de RPCNETP.DLL qui s’injectera dans la mémoire de l’ordinateur afin de se servir d’Internet Explorer pour cacher des communications avec différents URL qui appartiennent à Absolute Software. Les données de l’ordinateur sont donc envoyées subrepticement à la compagnie et permet une gestion de la machine en accès distant.

Les principaux problèmes de Computrace

Un problème fondamental de Computrace serait que son chiffrement est déficient. Selon les travaux de l’entreprise spécialisée en sécurité Kaspersky, Computrace n’utilise pas de chiffrement ni de procédure d’authentification lorsqu’il communique avec le serveur maître. Qu’est-ce que cela signifie? Cela veut dire qu’un individu malintentionné (et compétent) pourrait réutiliser ce protocole afin d’exploiter Computrace et de lui faire exécuter ce qu’il veut, notamment changer le serveur de communication pour un serveur tiers. Considérant que le logiciel permet de faire à peu près tout ce que l’on veut à distance, ce n’est pas la meilleure nouvelle pour celui qui a ce logiciel installé sur sa machine.

Autre problème fondamental du logiciel : il est particulièrement difficile à enlever, voire impossible pour l’utilisateur moyen. En effet, comme le logiciel permet de retracer un ordinateur éventuellement perdu ou volé, il est conçu de manière à être extrêmement résistant et persistant, donc complexe à retirer.

Le dernier problème important à mentionner est le fait que ce logiciel ait été installé d’office sur plusieurs machines vendues aux consommateurs, et ce, sans que ces derniers soient avertis de sa présence.

Évidemment, cela soulève aussi des questions importantes, notamment concernant les raisons pour lesquelles ce logiciel est présent sur ces ordinateurs, surtout si les consommateurs ne sont pas avertis. Un questionnement d’autant plus pertinent que certaines compagnies ont modifié le BIOS de manière à ce que Computrace n’apparaisse tout simplement pas dans les options. Il n’en faut pas bien plus pour se demander si tout cela est bien éthique, voire expliqué dans le fameux contrat d’utilisation que personne ne lit.

Avions-nous réellement besoin d’en ajouter?

Bref, il est navrant de constater que des logiciels de sécurité peuvent être suspectés d’être de véritables failles de sécurité. En effet, à la base, Computrace serait probablement vu comme un service intéressant par plusieurs, du moment qu’il ne leur est pas poussé dans la gorge à leur insu, et tant et aussi longtemps qu’il ne met pas leurs données à risque.

C’est d’autant plus affligeant que les éditeurs de logiciels de sécurité peinent déjà à lutter de manière efficace contre les maliciels de tout genre. D’ailleurs, Brian Dye, vice-président de la sécurité de l’information pour Symantec, affirmait récemment que la guerre contre les virus était perdu d’avance. Selon ses dires, Symantec était capable de protéger un ordinateur contre seulement 45% des infections. S’il faut que les compagnies de sécurité soient en plus obligées de protéger nos ordinateurs contre d’autres logiciels de sécurité, on n’est pas sorti du bois.

Bon, moi je m’en vais mettre mon chapeau d’aluminium pendant que je débranche l’ensemble de mes appareils électriques, je suis juste tannée de tout ça…