Enregistreur de frappe

Enregistreur de frappe

En informatique, un enregistreur de frappe (en anglais, keylogger) est un équipement ou un logiciel qui espionne électroniquement l'utilisateur d'un ordinateur. Les enregistreurs de frappes peuvent êtres légitimes ou malveillants, la séparation entre les deux étant assez floue. Dans tous les cas, il peut enregistrer les touches saisies au clavier, réaliser des captures d'écran, lister les actions de l'utilisateur et les applications actives, puis transmettre régulièrement les informations obtenues à l'individu mal intentionné, via un réseau ou des ondes électromagnétiques. Les enregistreurs de frappes malveillants intègrent généralement des technologies de dissimulation de l'activité, afin d'empêcher la découverte manuelle ou par un logiciel antivirus de leurs activités. De par leurs caractéristiques, ils peuvent être catégorisés comme des chevaux de Troie ou des logiciels espions.

Il existe diverses solutions pour prévenir et lutter contre ce type de menace.

Sommaire

Historique et évolution

Le nombre de programmes malveillants intégrant une fonction d'enregistrement de frappes a connu une expansion fulgurante, notamment entre 2000 et 2005. D'après les estimations de John Bambenek, un analyste de l'institut SANS, aux États-Unis, près de 10 millions d'ordinateurs étaient infectés par un logiciel malveillant intégrant un keylogger en 2005.

le 15 juin 2001, une des premières alertes diffusées par Kaspersky Lab (via son site viruslist.com) concernait un cheval de Troie (nommé TROJ_LATINUS.SVR) qui intégrait un keylogger ; de nombreux keyloggers ont fait leur apparition depuis. La plupart des logiciels malveillants sont désormais des hybrides.

Selon Cristine Hoepers, directrice de l'équipe brésilienne de réaction informatique rapide, les keyloggers tendent à remplacer l'hameçonnage pour vol d'informations confidentielles, et deviennent de plus en plus sophistiqués.

Mode opératoire

Objectifs et fonctionnement

Exemple d'un enregistreur de frappe matériel.

A la différence des autres types de logiciels malveillants, le keylogger n'est pas dangereux pour le système ; en revanche il peut l'être pour l'utilisateur. En effet, le keylogger peut intercepter les mots de passe ou d'autres informations confidentielles saisies à l'aide du clavier. Un individu mal intentionné peut ainsi dérober des numéros de compte, des codes d'accès, des identifiants (de messagerie électronique par exemple), des données de participants à des jeux en ligne, etc.

Le but du keylogger est de s'introduire entre la frappe au clavier et l'apparition du caractère à l'écran. Cette opération peut se faire par l'insertion d'un dispositif dans le clavier, par une observation vidéo, sur le câble ou dans le bloc système de l'ordinateur, par l'interception des requêtes d'entrée et de sortie, le remplacement du pilote système du clavier, un filtre pilote dans la pile du clavier, l'interception de la fonction du noyau par n'importe quel moyen (remplacement des adresses dans les tableaux système, collure du code de la fonction, etc.), l'interception de la fonction DLL dans le mode utilisateur, ou une requête du clavier à l'aide de méthodes standard documentées.

Les techniques les plus populaires pour la construction de keyloggers logiciels sont le piège système pour la communication d'une frappe au clavier (installé à l'aide de la fonction WinAPI SetWindowsHook sur les messages envoyés par la procédure de fenêtre ; programmé en langage C), la requête cyclique du clavier (via la fonction WinAPI Get, KeyState, GetKeyboardState ; programmé le plus souvent en VisualBasic, plus rarement en Borland Delphi), ou l'utilisation d'un filtre pilote (requiert des connaissances spéciales ; programmé en C).

Certains keyloggers utilisent également des méthodes de dissimulation d'activité (dissimulation du mode utilisateur appelée UserMode, ou celle du mode du noyau du système d'exploitation appelée KernelMode), pour éviter que leurs fichiers ne soient découverts manuellement, ou à l'aide de logiciels antivirus.

Vecteurs de propagation

Comme la plupart des logiciels malveillants, les keyloggers se diffusent généralement par l'ouverture d'une pièce jointe infectée, à l'ouverture d'un fichier contenu dans un répertoire partagé d'un réseau P2P, via un script (sur une page web qui exploite les particularités d'un navigateur, permettant au programme d'être exécuté automatiquement dès qu'un utilisateur accède à la page), par un programme malveillant installé précédemment (et capable de télécharger et d'installer d'autres programmes malveillants dans le système).

Types

Les enregistreurs de frappe sont logiciels ou matériels. Dans le premier cas, il s'agit d'un processus furtif (inclus par exemple dans un autre processus, ou portant un nom ressemblant à celui d'un processus système) écrivant les informations qu'il récupère, dans un fichier caché. Dans le cas d'enregistreurs de frappe matériels, il s'agit d'un dispositif (câble ou dongle) intercalé entre le port du clavier et le clavier lui-même.

Légitimes

Bien que la séparation entre « observation justifiée » et « espionnage criminel » ne soit pas évidente, la majorité des enregistreurs de frappes disponibles sont considérés comme des programmes légitimes ; les développeurs de ces programmes affirment qu'ils ont pour but de remplir des fonctions légitimes (ces tâches peuvent cependant être effectuées par d'autres moyens) :

  • Pour les parents : suivi des visites des enfants sur Internet et avertissement lorsqu'il tente d'accéder à un site pour adultes (contrôle parental)
  • Pour la surveillance d'un partenaire soupçonné d'entretenir une « liaison virtuelle ».
  • Pour les services de sécurité des organisations et des entreprises : suivi des cas d'utilisation non-appropriée des ordinateurs personnels ou utilisation des ordinateurs en dehors des heures de travail.
  • Pour les services de sécurité des organisations : contrôle de la saisie de mots ou d'expressions critiques qui constituent un secret commercial de l'entreprise et dont la divulgation pourrait entraîner des dommages matériels ou autres pour l'organisation.
  • Pour divers services de sécurité : analyse et étude des incidents liés à l'utilisation des ordinateurs personnels.

Malveillants

Un enregistreur de frappe légitime peut être exploité à des fins malveillantes. Il est alors utilisé le plus souvent pour voler des données confidentielles d'utilisateurs de systèmes de paiement en ligne. La plupart des keyloggers sont dotés d'un outil de dissimulation d'activité, ce qui en fait des chevaux de Troie à part entière.

Exemples

La majorité des délits informatiques liés aux finances sont perpétrés à l'aide d'enregistreurs de frappes, car ils constituent un mécanisme de surveillance très complet et fiable.

MyDoom

Le célèbre ver MyDoom.A, découvert le 27 janvier 2004, a battu le record du ver Sobig et fut à l'origine de la plus grande épidémie enregistrée sur Internet. Le ver utilisait l'ingénierie sociale, et lança une attaque contre le site sco.com, alors mis hors service pendant plusieurs mois. En plus de ses fonctions de ver de réseau, de porte dérobée et d'organisation d'attaques par déni de service, le ver MyDoom contenait également un enregistreur de frappes destiné à récupérer les numéros de cartes bancaires.

En Russie et en Ukraine

Vers la fin de l'année 2004, un groupe criminel de jeunes russes et ukrainiens avait envoyé des messages contenant un keylogger, à des clients de banques françaises et d'autres pays. Ces logiciels espions utilisaient également l'ingénierie sociale pour attirer leurs victimes vers des sites web frauduleux. Le programme s'activait lorsque la victime accédait au site bancaire, récoltait les informations saisies par l'utilisateur puis les envoyait aux escrocs. En onze mois, plus d'un million de dollars furent ainsi volés, mais le groupe de malfaiteurs a fini par être arrêté.

Sumitomo Mitsui

Au début de l'année 2005, la police londonienne a déjoué l'une des plus importantes tentatives de vol d'informations bancaires en Angleterre. Les auteurs de l'attaque avaient l'intention de détourner 423 millions de dollars de la banque Sumitomo Mitsui. Le principal composant du cheval de Troie (créé par Yeron'om Bolondi, un Israélien), était un keylogger.

Espionnage industriel

En mai 2005, la police israélienne a arrêté à Londres un couple accusé d'avoir développé et vendu un cheval de Troie incluant un keylogger, pour permettre aux entreprises israéliennes d'espionner leurs concurrents. Ce programme avait servi à espionner l'agence de relations publiques Rani Rahav, qui comptait parmi ses clients Partner Communications (le deuxième opérateur de téléphonie mobile en Israël), et HOT, un câblo-opérateur. La société Mayer (importateur de voitures Volvo et Honda en Israël), est soupçonnée d'avoir espionné la société Champion Motors (importateur de voitures Audi et Volkswagen). Le créateur et le vendeur furent respectivement condamnés à 2 et 4 ans de prison.

Au Brésil

En février 2006, la police brésilienne a arrêté 55 personnes, qui diffusaient des programmes malveillants utilisés pour voler les données d'accès aux services en ligne de plusieurs banques. Ces keyloggers s'activaient une fois que le client de la banque ouvrait la page Internet d'accès à ses comptes. Ils enregistraient alors toutes les données saisies avant de les transmettre aux auteurs. La somme dérobée s'élevait à 4,7 millions de dollars, en provenance de 200 comptes de 6 banques du pays.

Nordea

En août 2006, les clients de la banque suédoise Nordea ont commencé à recevoir des courriers électroniques envoyés « au nom de » la banque. Il s'agissait d'une proposition d'installation d'un logiciel de lutte contre le courrier indésirable, envoyé en pièce jointe. Quand le destinataire du message tentait d'enregistrer le fichier en pièce jointe sur son ordinateur, il installait en réalité une variante spéciale de Haxdoor, un cheval de Troie qui s'activait lorsque la victime tentait d'accéder aux services en ligne de la banque Nordea. Il affichait alors un message signalant une erreur, invitant ensuite le client à re-saisir ses données d'accès. Le keylogger intégré au cheval de Troie enregistrait les données saisies par la victime, puis les transmettait à l'individu à l'origine de l'attaque. L'obtention de ces données ont permis aux malfaiteurs de vider les comptes des clients de la banque. D'après les déclarations de l'auteur de Haxdoor, le programme aurait également servi dans des attaques contre des banques australiennes entre autres.

Prévention et protection

Logiciels antivirus

Pour être protégé contre la majorité des keyloggers (et des programmes malveillants en général) l'utilisation d'un antivirus (mis à jour régulièrement) s'avère efficace. En effet, les keyloggers les plus connus sont répertoriés dans les bases antivirales des antivirus et les moyens mis en œuvre pour les éliminer sont identiques à ceux employés contre les autres programmes malveillants. Cependant, il est parfois nécessaire de configurer manuellement l'identification des keyloggers via l'interface de l'antivirus.

Claviers virtuels

Des solutions alternatives préventives existent : L'utilisation de claviers virtuels est un moyen de se protéger contre les keyloggers, matériels et logiciels. Le clavier virtuel est un programme qui affiche à l'écran l'équivalent d'un clavier, permettant la saisie des données en cliquant sur les touches à l'aide de la souris. Windows intègre un clavier virtuel (accessible via le menu Démarrer> Programmes > Accessoires > Accessibilité > Clavier visuel), mais il offre une très faible protection contre les keyloggers car il n'a pas été conçu comme un dispositif de sécurité, mais comme un outil destiné aux personnes aux capacités réduites ; les données saisies à l'aide de ce clavier peuvent donc facilement être interceptées par un programme malveillant.

Mots de passe à usage unique

L'utilisation de mots de passe à usage unique permet de réduire les dommages liés à l'interception des mots de passe. En effet, le mot de passe généré ne peut être utilisé qu'une seule fois et la plupart du temps, la période d'utilisation est en plus limitée dans le temps. Cette utilisation se fait à l'aide de dispositifs spéciaux, comme les token USB (par exemple Aladdin eToken NG OTP) ; sous forme de calculatrice (comme RSA SecurID 900 Signing Token) ; ou via un système d'envoi de SMS depuis un téléphone mobile enregistré, puis la réception d'un code PIN. Les dispositifs de création de mots de passe à usage unique sont largement utilisés dans les systèmes bancaires d'Europe, d'Asie, des États-Unis et d'Australie, et la société Lloyds, leader sur le marché bancaire, utilise d'ailleurs cette méthode depuis novembre 2005.

Notes et références

Voir aussi

Articles connexes

Liens externes


Wikimedia Foundation. 2010.

Contenu soumis à la licence CC-BY-SA. Source : Article Enregistreur de frappe de Wikipédia en français (auteurs)

Игры ⚽ Поможем сделать НИР

Regardez d'autres dictionnaires:

  • Enregistreur De Frappe — Cet article fait partie de la série Programmes malveillants Virus Cabir MyDoom.A Tchernobyl …   Wikipédia en Français

  • Keylogger — Enregistreur de frappe Cet article fait partie de la série Programmes malveillants Virus Cabir MyDoom.A Tchernobyl …   Wikipédia en Français

  • Magic Lantern — (de l anglais signifiant littéralement « lanterne magique ») est un policeware développé par le Federal Bureau of Investigation (FBI). Grâce à ce logiciel, le FBI peut enregistrer tout ce que tape un utilisateur sur son clavier. Son… …   Wikipédia en Français

  • MPack (logiciel) — En sécurité informatique, MPack est une trousse d outils de piratage (logiciels malveillants ou malwares) basés sur PHP. Historique et description Créée par des pirates informatiques russes, la première version en a été publiée en décembre 2006.… …   Wikipédia en Français

  • SubSeven — est un cheval de troie de type porte dérobée. Il est un des chevaux de Troie (en anglais, trojans) les plus connus, et il est détecté par presque tous les logiciels anti virus du monde. SubSeven , aussi connu sous le nom de Sub7, a été développé… …   Wikipédia en Français

  • Rootkit — Pronunciation of Rootkit in US English Un rootkit (le nom « outil de dissimulation d activité » est également utilisé[1]), parfois simplement « kit », est un ensemble de techniques mises en œuvre par un ou plusieurs logiciels …   Wikipédia en Français

  • 2007 en informatique — Années : 2004 2005 2006  2007  2008 2009 2010 Décennies : 1970 1980 1990  2000  2010 2020 2030 Siècles : XXe siècle  XXIe siècl …   Wikipédia en Français

  • Anarchy NetPwnage — Développé par GenoXyde Security en 2009, Anarchy NetPwnage est un cheval de Troie qui permet un accès non autorisé à des ordinateurs équipés de Windows. Sommaire 1 Caractéristiques 2 Versions 3 Versions Client 4 …   Wikipédia en Français

  • Back Orifice — est un logiciel client/serveur d administration et de prise de contrôle à distance de machines utilisant le système d exploitation Windows ; il ne s agit pas vraiment d un virus, mais plutôt d un rootkit. Il est créé et distribué par un… …   Wikipédia en Français

  • Bagle — est un ver informatique qui se propage par courrier électronique et peer to peer affectant les systèmes Microsoft Windows. Il se présente sous la forme d un message intitulé « Hi » accompagné d un fichier joint de nom aléatoire, avec… …   Wikipédia en Français

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”