Depuis quelque temps, Computrace fait la Une de sites en manque de sensationnel. Sans être dangereux, ce programme réputé n’est cependant pas totalement innocent. C’est une sorte de mouchard utilisé par les entreprises pour protéger leur parc d’ordinateurs portables à distance. Qu’est-il, quel danger représente-t-il, comment le détecter et peut-on s’en débarrasser ?
Qu’est-ce que Computrace / LoJack ?
Un ordinateur portable est volé ou perdu toutes les 53 secondes dans le monde. Pour répondre à cette problématique, l’éditeur Absolute Software s’est spécialisé dans la protection des machines nomades. Depuis 2005, sa technologie de traçage et de blocage à distance est intégrée dans les BIOS de certains ordinateurs, PC comme Mac. Son service antivol, aussi connu sous le nom de LoJack, est depuis plusieurs années pointées du doigt par les experts en sécurité. Déjà en août 2009, les chercheurs de Core Security Technologies s’inquiétaient de voir ce service (incorporé au cœur du cerveau qui veille au démarrage des ordinateurs) être utilisé comme un vecteur d’infection. Depuis 2009, Absolute n’a cessé d’améliorer et complexifier sa technologie, désormais connue sous le nom de Absolute Computrace (version professionnelle de LoJack, davantage orientée grand public). Le programme permet de géolocaliser son PC volé, d’accéder à ses fichiers pour les récupérer et d’effacer ensuite le contenu à distance. Il permet aussi d’administrer et mettre à jour les PC nomades depuis un serveur central.
En quoi Computrace LoJack est-il une menace potentielle ?
En février dernier, suite à la publication d’un billet de Kaspersky Lab intitulé « Good Software Can Be Bad » (un bon logiciel peut être mauvais), Absolute est revenu au cœur de l’actualité. Selon les recherches du laboratoire, Computrace serait actif sur bien des ordinateurs sans que les utilisateurs ne l’aient ni installé, ni activé, ni même n’aient conscience de sa présence.
Le problème soulevé par Kaspersky dans son billet fait écho aux doutes émis par Core Security en 2009. Les chercheurs russes ont mis en évidence une faille dans le protocole réseau de Computrace, qui permettrait d’exécuter du code à distance et à l’insu de l’utilisateur. Dès lors, n’importe quelle agence d’espionnage gouvernementale ou n’importe quel cybercriminel mal intentionné pourrait, s’il trouve comment exploiter cette faiblesse, lancer l’exécution d’un spyware ou prendre le contrôle à distance de la machine et de ses fichiers.
Cependant, cela reste très théorique. À l’heure actuelle, aucune attaque exploitant Computrace n’a jamais été découverte. En outre, le Laboratoire Kaspersky, qui soulève le problème, ne prétend pas avoir réussi à simuler avec succès la moindre attaque. Selon Absolute Software, le mécanisme dépeint par Kaspersky ne permet pas de réussir une attaque. Et l’éditeur affirme qu’il n’existe absolument aucun moyen d’activer à distance Computrace. D’autant qu’il s’agit là d’un service payant et que sans abonnement valide Computrace ne s’active pas.
Autrement dit, pour l’instant (et jusqu’à preuve du contraire), Computrace n’est pas une menace.
Sur quels PC peut-on trouver Computrace ?
Le logiciel peut être soit directement placé dans le BIOS des PC en usine, soit être installé volontairement et a posteriori par les administrateurs de l’entreprise.
Computrace serait ainsi intégré dans le BIOS de certains modèles d’ordinateurs Acer, Alienware, Asus, Dell, Fujitsu, GammoTech, Gateway, General Dynamics, Getac, HP, Lenovo, Motion, Panasonic, Samsung, Sony, Toshiba, Xplore Technologies, Wistron.
En théorie, Computrace n’est jamais activé par défaut au niveau du BIOS. Kaspersky affirme qu’il a été découvert actif sur certaines machines, alors que les utilisateurs ne l’avaient pas volontairement mis en marche, mais un doute subsiste sur le pourquoi (erreur en usine, erreur de manipulation de l’utilisateur, commandes spécifiques des entreprises ayant souhaité que les machines leur soient livrées avec Computrace préactivé, etc.). À l’heure actuelle, aucune preuve ne permet d’affirmer que Computrace peut être activé à distance et à l’insu des utilisateurs.
Il faut aussi se souvenir que Computrace a été décliné sous Mac OS X (il n’est pas incorporé dans les ROM Apple, mais peut-être installé par les entreprises). Il en existe également une version Android, mais aussi Symbian S60 et BlackBerry OS 7, et il peut dès lors potentiellement se retrouver sur certains smartphones et tablettes.
Comment détecter Computrace ?
La solution la plus simple et la plus évidente pour savoir si Computrace est actif sur votre PC est de lancer le petit outil conçu par Phrozen Software et dénommé « ComputraceDetector ».
Le fichier Zip contient deux exécutables, un pour les ordinateurs avec Windows 32 bits et l’autre pour Windows 64 bits. Pour mémoire, afin de savoir si votre ordinateur exécute une version 32 bits ou 64 bits de Windows 7 ou Windows 8, cliquez du bouton droit sur Ordinateur ou Ce PC et affichez les Propriétés.
Lancez finalement l’exécutable correspondant à votre système. Chaque ligne de test doit afficher Clean comme résultat pour s’assurer que Computrace n’existe pas sur son PC.
Comment supprimer Computrace ?
Que faire si l’outil précédent révèle que Computrace est présent sur le PC ? Ne perdez pas de vue que Computrace n’est pas une menace en soi. Même si de nombreux chercheurs émettent l’hypothèse de risques, aucune menace n’a jamais été détectée depuis 2009. On peut toutefois comprendre que certains utilisateurs n’apprécient pas l’idée qu’un mouchard tourne en tâche de fond sur leur ordinateur à leur insu.
Dès lors que Computrace est installé dans le BIOS, on ne peut le désinstaller. On peut soit le désactiver via les paramètres du BIOS (se référer à la notice de son ordinateur, il n’existe pas de manipulation universelle, mais on entre en général dans les paramètres BIOS en appuyant sur DEL ou sur F2 au démarrage), soit tenter de tuer ses tâches juste après le démarrage.
Pour tuer les tâches au démarrage, ouvrez le bloc-notes Windows. Saisissez les commandes suivantes :
@echo off
TASKKILL /F /IM “upgrd.exe”
TASKKILL /F /IM “rpcnetp.exe”
TASKKILL /F /IM “rpcnet.exe”
Sauvez le fichier sur le bureau en le nommant KILLJACK.BAT. Puis lancez-le en tant qu’administrateur après chaque démarrage.
Il existe également un outil appelé « SpyVision 1.5 » qui prétend désactiver Computrace. Malheureusement, cet outil ne semble en réalité qu’un leurre. Il installe sur votre PC une tonne d’adwares et de logiciels en version démo et il constitue en réalité une menace bien plus grave que ne l’est Computrace lui-même.
Et si vous souhaitez définitivement vous débarrasser de Computrace, il vous faudra de réclamer auprès du constructeur une mise à jour du BIOS dénuée de l’outil d’Absolute Software, voire de changer de machine (cas extrême).
