Définition Keylogger (enregistreur de frappe)
Source: Wikipedia
En informatique,
un enregistreur de frappe (en anglais, keylogger) est
un équipement ou un logiciel
qui espionne électroniquement l'utilisateur d'un ordinateur. Les
enregistreurs de frappes peuvent êtres légitimes ou malveillants,
la séparation entre les deux étant assez floue. Dans tous les cas,
il peut enregistrer les touches
saisies au clavier,
réaliser des captures
d'écran, lister les actions de l'utilisateur et les applications
actives, puis transmettre régulièrement les informations obtenues à
l'individu mal intentionné, via un réseau
ou des ondes
électromagnétiques. Les enregistreurs de frappes malveillants
intègrent généralement des technologies de dissimulation de
l'activité, afin d'empêcher la découverte manuelle ou par un
logiciel
antivirus de leurs activités. De par leurs caractéristiques,
ils peuvent être catégorisés comme des chevaux
de Troie ou des logiciels
espions.
Il existe diverses solutions pour prévenir et lutter contre ce type de menace.
le 15 juin 2001, une des premières alertes diffusées par Kaspersky Lab (via son site viruslist.com) concernait un cheval de Troie (nommé TROJ_LATINUS.SVR) qui intégrait un keylogger ; de nombreux keyloggers ont fait leur apparition depuis. La plupart des logiciels malveillants sont désormais des hybrides.
Selon Cristine Hoepers, directrice de l'équipe brésilienne de réaction informatique rapide, les keyloggers tendent à remplacer l'hameçonnage pour vol d'informations confidentielles, et deviennent de plus en plus sophistiqués.
Exemple d'un enregistreur de frappe matériel.
A la différence des autres types de logiciels malveillants, le keylogger n'est pas dangereux pour le système ; en revanche il peut l'être pour l'utilisateur. En effet, le keylogger peut intercepter les mots de passe ou d'autres informations confidentielles saisies à l'aide du clavier. Un individu mal intentionné peut ainsi dérober des numéros de compte, des codes d'accès, des identifiants (de messagerie électronique par exemple), des données de participants à des jeux en ligne, etc.
Le but du keylogger est de s'introduire entre la frappe au clavier et l'apparition du caractère à l'écran. Cette opération peut se faire par l'insertion d'un dispositif dans le clavier, par une observation vidéo, sur le câble ou dans le bloc système de l'ordinateur, par l'interception des requêtes d'entrée et de sortie, le remplacement du pilote système du clavier, un filtre pilote dans la pile du clavier, l'interception de la fonction du noyau par n'importe quel moyen (remplacement des adresses dans les tableaux système, collure du code de la fonction, etc.), l'interception de la fonction DLL dans le mode utilisateur, ou une requête du clavier à l'aide de méthodes standard documentées.
Les techniques les plus populaires pour la construction de keyloggers logiciels sont le piège système pour la communication d'une frappe au clavier (installé à l'aide de la fonction WinAPI SetWindowsHook sur les messages envoyés par la procédure de fenêtre ; programmé en langage C), la requête cyclique du clavier (via la fonction WinAPI Get, KeyState, GetKeyboardState ; programmé le plus souvent en VisualBasic, plus rarement en Borland Delphi), ou l'utilisation d'un filtre pilote (requiert des connaissances spéciales ; programmé en C).
Certains keyloggers utilisent également des méthodes de dissimulation d'activité (dissimulation du mode utilisateur appelée UserMode, ou celle du mode du noyau du système d'exploitation appelée KernelMode), pour éviter que leurs fichiers ne soient découverts manuellement, ou à l'aide de logiciels antivirus.
Il existe diverses solutions pour prévenir et lutter contre ce type de menace.
Historique et évolution
Le nombre de programmes malveillants intégrant une fonction d'enregistrement de frappes a connu une expansion fulgurante, notamment entre 2000 et 2005. D'après les estimations de John Bambenek, un analyste de l'institut SANS, aux États-Unis, près de 10 millions d'ordinateurs étaient infectés par un logiciel malveillant intégrant un keylogger en 2005.le 15 juin 2001, une des premières alertes diffusées par Kaspersky Lab (via son site viruslist.com) concernait un cheval de Troie (nommé TROJ_LATINUS.SVR) qui intégrait un keylogger ; de nombreux keyloggers ont fait leur apparition depuis. La plupart des logiciels malveillants sont désormais des hybrides.
Selon Cristine Hoepers, directrice de l'équipe brésilienne de réaction informatique rapide, les keyloggers tendent à remplacer l'hameçonnage pour vol d'informations confidentielles, et deviennent de plus en plus sophistiqués.
Mode opératoire
Objectifs et fonctionnement
A la différence des autres types de logiciels malveillants, le keylogger n'est pas dangereux pour le système ; en revanche il peut l'être pour l'utilisateur. En effet, le keylogger peut intercepter les mots de passe ou d'autres informations confidentielles saisies à l'aide du clavier. Un individu mal intentionné peut ainsi dérober des numéros de compte, des codes d'accès, des identifiants (de messagerie électronique par exemple), des données de participants à des jeux en ligne, etc.
Le but du keylogger est de s'introduire entre la frappe au clavier et l'apparition du caractère à l'écran. Cette opération peut se faire par l'insertion d'un dispositif dans le clavier, par une observation vidéo, sur le câble ou dans le bloc système de l'ordinateur, par l'interception des requêtes d'entrée et de sortie, le remplacement du pilote système du clavier, un filtre pilote dans la pile du clavier, l'interception de la fonction du noyau par n'importe quel moyen (remplacement des adresses dans les tableaux système, collure du code de la fonction, etc.), l'interception de la fonction DLL dans le mode utilisateur, ou une requête du clavier à l'aide de méthodes standard documentées.
Les techniques les plus populaires pour la construction de keyloggers logiciels sont le piège système pour la communication d'une frappe au clavier (installé à l'aide de la fonction WinAPI SetWindowsHook sur les messages envoyés par la procédure de fenêtre ; programmé en langage C), la requête cyclique du clavier (via la fonction WinAPI Get, KeyState, GetKeyboardState ; programmé le plus souvent en VisualBasic, plus rarement en Borland Delphi), ou l'utilisation d'un filtre pilote (requiert des connaissances spéciales ; programmé en C).
Certains keyloggers utilisent également des méthodes de dissimulation d'activité (dissimulation du mode utilisateur appelée UserMode, ou celle du mode du noyau du système d'exploitation appelée KernelMode), pour éviter que leurs fichiers ne soient découverts manuellement, ou à l'aide de logiciels antivirus.
Vecteurs de propagation
Comme la plupart des logiciels malveillants, les keyloggers se diffusent généralement par l'ouverture d'une pièce jointe infectée, à l'ouverture d'un fichier contenu dans un répertoire partagé d'un réseau P2P, via un script (sur une page web qui exploite les particularités d'un navigateur, permettant au programme d'être exécuté automatiquement dès qu'un utilisateur accède à la page), par un programme malveillant installé précédemment (et capable de télécharger et d'installer d'autres programmes malveillants dans le système).Types
Les enregistreurs de frappe sont logiciels ou matériels. Dans le premier cas, il s'agit d'un processus furtif (inclus par exemple dans un autre processus, ou portant un nom ressemblant à celui d'un processus système) écrivant les informations qu'il récupère, dans un fichier caché. Dans le cas d'enregistreurs de frappe matériels, il s'agit d'un dispositif (câble ou dongle) intercalé entre le port du clavier et le clavier lui-même.Légitimes
Bien que la séparation entre « observation justifiée » et « espionnage criminel » ne soit pas évidente, la majorité des enregistreurs de frappes disponibles sont considérés comme des programmes légitimes ; les développeurs de ces programmes affirment qu'ils ont pour but de remplir des fonctions légitimes (ces tâches peuvent cependant être effectuées par d'autres moyens) :- Pour les parents : suivi des visites des enfants sur Internet et avertissement lorsqu'il tente d'accéder à un site pour adultes (contrôle parental)
- Pour la surveillance d'un partenaire soupçonné d'entretenir une « liaison virtuelle ».
- Pour les services de sécurité des organisations et des entreprises : suivi des cas d'utilisation non-appropriée des ordinateurs personnels ou utilisation des ordinateurs en dehors des heures de travail.
- Pour les services de sécurité des organisations : contrôle de la saisie de mots ou d'expressions critiques qui constituent un secret commercial de l'entreprise et dont la divulgation pourrait entraîner des dommages matériels ou autres pour l'organisation.
- Pour divers services de sécurité : analyse et étude
des incidents liés à l'utilisation des ordinateurs personnels.
Malveillants
Un enregistreur de frappe légitime peut être exploité à des fins malveillantes. Il est alors utilisé le plus souvent pour voler des données confidentielles d'utilisateurs de systèmes de paiement en ligne. La plupart des keyloggers sont dotés d'un outil de dissimulation d'activité, ce qui en fait des chevaux de Troie à part entière.Exemples
La majorité des délits informatiques liés aux finances sont perpétrés à l'aide d'enregistreurs de frappes, car ils constituent un mécanisme de surveillance très complet et fiable.MyDoom
Le célèbre ver MyDoom.A, découvert le 27 janvier 2004, a battu le record du ver Sobig et fut à l'origine de la plus grande épidémie enregistrée sur Internet. Le ver utilisait l'ingénierie sociale, et lança une attaque contre le site sco.com, alors mis hors service pendant plusieurs mois. En plus de ses fonctions de ver de réseau, de porte dérobée et d'organisation d'attaques par déni de service, le ver MyDoom contenait également un enregistreur de frappes destiné à récupérer les numéros de cartes bancaires.En Russie et en Ukraine
Vers la fin de l'année 2004, un groupe criminel de jeunes russes et ukrainiens avait envoyé des messages contenant un keylogger, à des clients de banques françaises et d'autres pays. Ces logiciels espions utilisaient également l'ingénierie sociale pour attirer leurs victimes vers des sites web frauduleux. Le programme s'activait lorsque la victime accédait au site bancaire, récoltait les informations saisies par l'utilisateur puis les envoyait aux escrocs. En onze mois, plus d'un million de dollars furent ainsi volés, mais le groupe de malfaiteurs a fini par être arrêté.Sumitomo Mitsui
Au début de l'année 2005, la police londonienne a déjoué l'une des plus importantes tentatives de vol d'informations bancaires en Angleterre. Les auteurs de l'attaque avaient l'intention de détourner 423 millions de dollars de la banque Sumitomo Mitsui. Le principal composant du cheval de Troie (créé par Yeron'om Bolondi, un Israélien), était un keylogger.Espionnage industriel
En mai 2005, la police israélienne a arrêté à Londres un couple accusé d'avoir développé et vendu un cheval de Troie incluant un keylogger, pour permettre aux entreprises israéliennes d'espionner leurs concurrents. Ce programme avait servi à espionner l'agence de relations publiques Rani Rahav, qui comptait parmi ses clients Partner Communications (le deuxième opérateur de téléphonie mobile en Israël), et HOT, un câblo-opérateur. La société Mayer (importateur de voitures Volvo et Honda en Israël), est soupçonnée d'avoir espionné la société Champion Motors (importateur de voitures Audi et Volkswagen). Le créateur et le vendeur furent respectivement condamnés à 2 et 4 ans de prison.Au Brésil
En février 2006, la police brésilienne a arrêté 55 personnes, qui diffusaient des programmes malveillants utilisés pour voler les données d'accès aux services en ligne de plusieurs banques. Ces keyloggers s'activaient une fois que le client de la banque ouvrait la page Internet d'accès à ses comptes. Ils enregistraient alors toutes les données saisies avant de les transmettre aux auteurs. La somme dérobée s'élevait à 4,7 millions de dollars, en provenance de 200 comptes de 6 banques du pays.Nordea
En août 2006, les clients de la banque suédoise Nordea ont commencé à recevoir des courriers électroniques envoyés « au nom de » la banque. Il s'agissait d'une proposition d'installation d'un logiciel de lutte contre le courrier indésirable, envoyé en pièce jointe. Quand le destinataire du message tentait d'enregistrer le fichier en pièce jointe sur son ordinateur, il installait en réalité une variante spéciale de Haxdoor, un cheval de Troie qui s'activait lorsque la victime tentait d'accéder aux services en ligne de la banque Nordea. Il affichait alors un message signalant une erreur, invitant ensuite le client à re-saisir ses données d'accès. Le keylogger intégré au cheval de Troie enregistrait les données saisies par la victime, puis les transmettait à l'individu à l'origine de l'attaque. L'obtention de ces données ont permis aux malfaiteurs de vider les comptes des clients de la banque. D'après les déclarations de l'auteur de Haxdoor, le programme aurait également servi dans des attaques contre des banques australiennes entre autres.Prévention et protection
Logiciels antivirus
Pour être protégé contre la majorité des keyloggers (et des programmes malveillants en général) l'utilisation d'un antivirus (mis à jour régulièrement) s'avère efficace. En effet, les keyloggers les plus connus sont répertoriés dans les bases antivirales des antivirus et les moyens mis en œuvre pour les éliminer sont identiques à ceux employés contre les autres programmes malveillants. Cependant, il est parfois nécessaire de configurer manuellement l'identification des keyloggers via l'interface de l'antivirus.Claviers virtuels
Des solutions alternatives préventives existent : L'utilisation de claviers virtuels est un moyen de se protéger contre les keyloggers, matériels et logiciels. Le clavier virtuel est un programme qui affiche à l'écran l'équivalent d'un clavier, permettant la saisie des données en cliquant sur les touches à l'aide de la souris. Windows intègre un clavier virtuel (accessible via le menu Démarrer> Programmes > Accessoires > Accessibilité > Clavier visuel), mais il offre une très faible protection contre les keyloggers car il n'a pas été conçu comme un dispositif de sécurité, mais comme un outil destiné aux personnes aux capacités réduites ; les données saisies à l'aide de ce clavier peuvent donc facilement être interceptées par un programme malveillant.Mots de passe à usage unique
L'utilisation de mots de passe à usage unique permet de réduire les dommages liés à l'interception des mots de passe. En effet, le mot de passe généré ne peut être utilisé qu'une seule fois et la plupart du temps, la période d'utilisation est en plus limitée dans le temps. Cette utilisation se fait à l'aide de dispositifs spéciaux, comme les token USB (par exemple Aladdin eToken NG OTP) ; sous forme de calculatrice (comme RSA SecurID 900 Signing Token) ; ou via un système d'envoi de SMS depuis un téléphone mobile enregistré, puis la réception d'un code PIN. Les dispositifs de création de mots de passe à usage unique sont largement utilisés dans les systèmes bancaires d'Europe, d'Asie, des États-Unis et d'Australie, et la société Lloyds, leader sur le marché bancaire, utilise d'ailleurs cette méthode depuis novembre 2005.Notes et références
- Cet article est principalement issu de l'article
de viruslist.com
