Qu’est-ce qu’un Keylogger ? En résumé, un trouble-fête informatique qui envoie en temps réel vos identifiants personnels et bancaires à des pirates. Comment ça marche ?
D’après certains experts, les Keyloggers (ou enregistreurs de frappe) représentent la principale menace contre les utilisateurs d’ordinateurs personnels. Ils prennent la forme de logiciels ou de petits matériels qui enregistrent tout ce qui est tapé sur un clavier.
L’enregistrement de chacun de vos mouvements sur le web
Certains enregistreurs de frappe sont inoffensifs : ce sont les keyloggers intégrés à des logiciels de contrôle parental (probablement pas la meilleure solution pour accompagner ses enfants sur la Toile, mais bon, ils existent). Mais les keyloggers sont surtout des logiciels malveillants utilisés par des cybercriminels pour espionner discrètement tout ce que vous faites sur votre ordinateur, en analysant les frappes sur le clavier : ils récoltent notamment les identifiants, les mots de passe, et toute autre information sensible, avant de les envoyer à des hackers. Ces malwares prennent également en compte les mots de passe et identifiants que vous avez enregistrés dans votre navigateur pour gagner du temps : les keyloggers scannent aussi les cookies.
Les enregistreurs de frappe deviennent de plus en plus sophistiqués. Une fois installés sur un PC, ils peuvent suivre les sites web visités et enregistrer en direct les identifiants saisis par l’utilisateur. Les keyloggers peuvent même filtrer les sites web, et n’enregistrer que les données saisies sur certains sites web, comme par exemple les sites de banque en ligne.
Différents types de keyloggers
On dénombre trois sortes d’enregistreur de frappe :
- Les keyloggers matériels : ce sont de petites boîtes placées entre le clavier et l’ordinateur. Leur installation requiert donc un accès physique à la machine, et leur présence finit souvent par être détectée. Ces boitiers peuvent capturer des centaines de frappes, notamment des identifiants personnels et bancaires.
- Les keyloggers logiciels (crochetage ou hooking) : il s’agit d’un programme qui utilise la fonction Windows SetWindowsHookEx(), qui surveille toutes les frappes et peut même capturer les mots de passe automatiques. Typiquement, le logiciel espion provient d’un exécutable qui engage la fonction de crochetage, plus un DLL (petit fichier Windows) qui gère les fonctions d’identification.
- Les keyloggers logiciels (depuis le noyau système) : le malware intervient ici au niveau le plus bas du système d’exploitation, c’est à dire à un niveau invisible pour l’utilisateur. Il s’attaque en effet au noyau (ou kernel) qui gère les communications entre logiciels et matériels (drivers). Le Keylogger intercepte ainsi directement les informations provenant du clavier. Il remplace le logiciel central sensé interpréter les frappes et peut être programmé pour être indétectable (malware exécuté pendant le démarrage système). D’un autre côté, il ne peut pas capturer les mots de passe automatiques.
Le vol d’identifiants bancaires
Les Keyloggers peuvent être très lucratifs, c’est d’ailleurs leur but. En 2007 par exemple, un keylogger s’était installé sur plusieurs centaines de PC appartenant à des clients de la banque suédoise Nordea. Le hold-up reste un record : plus de 1 million de dollars a été volé.
Le tristement célèbre Zeus est lui aussi conçu pour dérober des informations financières et bancaires. Le malware est réglé pour s’activer dès que l’ordinateur accède à un site ciblé, appartenant à une liste pré-définie : la plupart des sites bancaires, de cartes de crédit, EBay, PayPal, Amazon, etc. Le keylogger enregistre les noms d’utilisateur, les mots de passe, les numéros de compte et toute information sensible. En septembre 2010, le FBI a inculpé 37 new-yorkais qui auraient volé plus de 3 millions de dollars grâce à Zeus.
D’après Saul Hansell, un blogeur du NY Times, les cyberescrocs ont largement amélioré leurs keyloggers en les rendant capables de rapporter en temps réel les identifiants volés, via un flux privé de type Twitter. Les hackers peuvent alors accéder aux comptes bancaires, même si leurs titulaires y sont toujours connectés.
Comment se protéger des enregistreurs de frappe ?
Un PC peut être infecté par un keylogger de différentes manières. Vous pouvez par exemple télécharger le malware par inadvertance depuis un site web malveillant, la pièce jointe d’un e-mail, ou même simplement en cliquant sur un lien infecté. Les cybercriminels utilisent également des chevaux de Troie pour ensuite installer discrètement un enregistreur de frappe sur l’ordinateur des victimes.
Se protéger des keyloggers n’est pas forcément très compliqué, notamment si vous suivez ces quelques conseils :
- Maintenez tous vos logiciels à jour, notamment via les mises à jour automatiques : systèmes d’exploitation (ex : Windows), antivirus, firewall, suite bureautique, etc.
- Apprenez à reconnaître les mails de phishing (hameçonnage), et effacez-les.
- Ne cliquez sur aucun lien suspect, notamment dans les mails qui ne vous sont pas personnellement adressés.
Source : bullguard.com
Bonjour,
Il existe quelques autres types de keyloggers, beaucoup plus sophistiqués, qui mettent en œuvre de gros moyens matériel :
Les keyloggers électromagnétiques
Les premiers en 1943, par hasard.
Sont à l’origine de la classification TEMPEST des appareils émettant un rayonnement, toujours en vigueur.
Les Keyloggers acoustiques
Apprentissage en temps réel, durant l’attaque, avec essentiellement la répartition statistique des lettres dans la langue espionnée, appuyé par un correcteur lexical, des outils utilisés en traitement du langage comme des automates de Markov à états cachés… Au bout de 10 minutes d’écoute, le taux de précision est de 90%.
Pour la petite histoire, on peut se pencher sur » Magic Lantern « , un keylogger logiciel développé et diffusé par le FBI, et utilisé, à son paroxysme, en 2001, juste après les attentats du 11 septembre.
Cordialement
Pierre (aka Terdef)
J’ajouterais que les antikeylogger ne sont efficaces que sur certains type de keylogger, préférez plutôt un bon antivirus, qui sera plus efficace sur tout type de keylogger y compris les kernel keylogger.