mardi 25 novembre 2014

KeyLogger ou Enregistreur de frappe


Un keylogger (littéralement enregistreur de touches) est un dispositif chargé d'enregistrer les frappes de touches du clavier et de les enregistrer, à l'insu de l'utilisateur. 

Il s'agit donc d'un dispositif d'espionnage.
Certains keyloggers sont capables d'enregistrer les URL visitées, les courriers électroniques consultés ou envoyés, les fichiers ouverts, voire de créer une vidéo retraçant toute l'activité de l'ordinateur !
Dans la mesure où les keyloggers enregistrent toutes les frappes de clavier, ils peuvent servir à des personnes malintentionnées pour récupérer les mots de passe des utilisateurs du poste de travail !

Cela signifie donc qu'il faut être particulièrement vigilant lorsque vous utilisez un ordinateur en lequel vous ne pouvez pas avoir confiance (poste en libre accès dans une entreprise, une école ou un lieu public tel qu'un cybercafé).

Mode d'action :

Dangereux, ils ne sont pourtant pas répertoriés parmis les virus, vers, ou chevaux de Troie car ils n'ont pas pour objectif de modifier quoi que se soit dans la machine cible et permettent simplement l'enregistrement d'informations. Ils sont donc très utiles par exemple en cas d'espionnage industriel.
 Le mode opératoire des keyloggers est identique, même s'il existe une multitude de keyloggers différents. Ils sont installés directement par le pirate sur la machine visée, si l'ordinateur n'a pas de connexion internet permettant une installation à distance via un cheval de Troie.

En général, les keyloggers se lancent directement au démarrage de la machine hôte. Une fois le keyloggers lancé, il enregistre au fur et à mesure tout ce qui est frappé sur le clavier. Dans la plupart des cas, si la machine cible est pourvue d'une connexion internet, le keylogger enverra discrètement, à une adresse mail ou à un serveur internet, un fichier, généralement crypté, contenant tous les renseignements collectés. Ainsi l'espion aura tout le temps nécessaire pour retracervotre activité et sélectionner les éléments qui lui semblent utiles. En fonction du keylogger sélectionné différents types d'écran de configuration existent.

Dans cet écran, vous pouvez constater qu'en fonction des informations qui intéressent le pirate, il est possible de choisir quel type de touches seront enregistrées dans le fichier log. Ici, nous avons choisi d'enregistrer toutes les touches du clavier pour vous donner une copie écran plus explicite de ce qu'enregistrera le fichier de traces.
 En complément des touches enregistrées vous pouvez constater ici que des éléments importants comme la date, les applications ouvertes et le choix ou non du cryptage du fichier de trace sont possibles. Le password réclamé par le keylogger permet d'assurer au pirate que lui seul pourra décrypter le fichier. Même si un utilisateur découvrait un fichier crypté il ne saurait reconnaître les éléments contenus à l'intérieur. En effet il n'est pas évident de comprendre l'extrait crypté d'un fichier log comme :
"#tJ|{/gir}olT"YbuR\"ZQfy~"K`haxZ"OR]"K`tsar}//t]"Zgro|~gnon"K`xar/tJ|koa"Zal/"\z}"K`"

L'option de planification de l'activité du keylogger peut être très utile au pirate. En effet, il peut planifier les jours et moments auxquels le keylogger doit se mettre en fonction. Cela permet de n'avoir que les informations désirées et favorise une plus grande discrétion puisque la mémoire dans laquelle le keylogger s'installe généralement n'est sollicitée qu'à des moments bien précis.
Selon le keylogger choisi, il est possible de paramétrer l'option "auto-destruction". Dès lors impossible à l'utilisateur ou à l'administrateur du parc informatique de remonter au programme et à l'espion qui se cache derrière. Il suffit de déterminer la plage en nombre de jours pendant laquelle le keylogger doit rester actif sur la machine cible pour qu'automatiquement le logiciel se détruise une fois le délai passé.

Contre-mesures :


Les keyloggers ne sont pas toujours identifiés par les anti-virus. Il n'est donc pas évident de les remarquer. En outre, dans la plupart des cas des options permettant l'invisibilité du programme exécuté existent.

Par contre, les keyloggers s'exécutent au démarrage de la machine. Tout ralentissement du système au lancement doit sembler suspect. Cependant, avec les nouvelles générations d'ordinateurs il est de moins en moins simple de noter ces ralentissements machines.

En général les fichiers de récupération, cryptés ou non sont stockés avec des noms très peu parlant dans c:/windows/temp. Il est intéressant d'aller tenter d'ouvrir les fichiers contenus dans ce répertoire. Pour ouvrir ces fichiers, cliquer en même temps sur "Shift" et le bouton droit de la souris. Parmi le menu qui s'offre vous verrez l'option "ouvrir avec". Le plus simple est alors de choisir "Note Pad" qui affichera les éléments en mode texte seulement. Vous pouvez, si le fichier n'est pas ou mal crypté retrouver des éléments qui doivent immédiatement vous alerter.

Dans le cas ou vous trouvriez un fichier suspect le plus simple est de commencer par faire travailler votre machine uniquement en local. Déconnectez vous de votre réseau et stoppez toute connexion internet. Cela empèchera aux fichiers de parvenir à l'espion. Prévenez votre administrateur qui recherchera via le serveur les échanges de mail et tentera de retrouver l'adresse du destinataire.

Une inspection des tâches qui sont en train d'être exécutées par votre ordinateur s'impose. En effet un simple "Ctrl" "Alt" "Suppr" n'affichera pas les keyloggers alors qu'un programme comme Procdump vous les signalera. En parallèle, recherchez sur votre PC tous les fichiers créés le jour où vous découvrez ce soucis.Dans le pire des cas, il sera peut être nécessaire que vous sauvegardiez tous vos fichiers de données pour ensuite formater votre disque dur.

Exemple logiciels Keylogger : 

- Revealer Keylogger (Télécharger)

- Free Keylogger Pro (Télécharger)


0 commentaires: