Les Keyloggers : des enregisteurs de touches
Qu'est ce que c'est ?
Les keyloggers sont des enregistreurs de touches et par extension des enregistreurs d'activités informatiques permettant d'enregistrer les touches utilisées par un utilisateur sur son clavier et tous les évènements déclenchés.
Dangereux, ils ne sont pourtant pas répertoriés parmis les virus, vers, ou chevaux de Troie car n'ont pas pour objectif de modifier quoi que se soit dans la machine cible et permettent simplement l'enregistrement d'informations. Ils sont donc très utiles par exemple en cas d'espionnage industriel.
Objectif :
L'objectif des keyloggers est d'enregistrer et de restituer tout le travail qui a été réalisé par un utilisateur. Les touches enregistrées permettent effectivement de retracer non seulement le travail courant, mais aussi de récupérer tous les identifiants et mots de passes. Un espion peut alors connaître vos moindres faits et gestes sur votre machine de bureau.
Mode d'action :
Le mode opératoire des keyloggers est identique, même s'il existe une multitude de keyloggers différents. Ils sont installés directement par le pirate sur la machine visée, si l'ordinateur n'a pas de connexion internet permettant une installation à distance via un cheval de Troie.
En général, les keyloggers se lancent directement au démarrage de la machine hôte. Une fois le keyloggers lancé, il enregistre au fur et à mesure tout ce qui est frappé sur le clavier. Dans la plupart des cas, si la machine cible est pourvue d'une connexion internet, le keylogger enverra discrètement, à une adresse mail ou à un serveur internet, un fichier, généralement crypté, contenant tous les renseignements collectés. Ainsi l'espion aura tout le temps nécessaire pour retracervotre activité et sélectionner les éléments qui lui semblent utiles. En fonction du keylogger sélectionné différents types d'écran de configuration existent.
![Les Keyloggers : des enregisteurs de touches [A LIRE !!] Ecrancongif1](https://2img.net/h/www.securiteinfo.com/gfx/ecrancongif1.gif)
Dans cet écran, vous pouvez constater qu'en fonction des informations qui intéressent le pirate, il est possible de choisir quel type de touches seront enregistrées dans le fichier log. Ici, nous avons choisi d'enregistrer toutes les touches du clavier pour vous donner une copie écran plus explicite de ce qu'enregistrera le fichier de traces.
En complément des touches enregistrées vous pouvez constater ici que des éléments importants comme la date, les applications ouvertes et le choix ou non du cryptage du fichier de trace sont possibles. Le password réclamé par le keylogger permet d'assurer au pirate que lui seul pourra décrypter le fichier. Même si un utilisateur découvrait un fichier crypté il ne saurait reconnaître les éléments contenus à l'intérieur. En effet pas évident de comprendre l'extrait crypté d'un fichier log comme :
"#tJ|{/gir}olT"YbuR\"ZQfy~"K`haxZ"OR]"K`tsar}//t]"Zgro|~gnon"K`xar/tJ|koa"Zal/"\z}"K`"
L'option de planification de l'activité du keylogger peut être très utile au pirate. En effet, il peut planifier les jours et moments auxquels le keylogger doit se mettre en fonction. Cela permet de n'avoir que les informations désirées et favorise une plus grande discrétion puisque la mémoire dans laquelle le keylogger s'intalle généralement n'est sollicitée qu'à des moments bien précis.
Selon le keylogger choisi, il est possible de paramétrer l'option "auto-destruction". Dès lors impossible à l'utilisateur ou à l'administrateur du parc informatique de remonter au programme et à l'espion qui se cache derrière. Il suffit de déterminer la plage en nombre de jours pendant laquelle le keylogger doit rester actif sur la machine cible pour qu'automatiquement le logiciel se détruise une fois le délai passé..
Contre-mesures : Les keyloggers ne sont pas toujours identifés par les anti-virus. Il n'est donc pas évident de les remarquer. En outre, dans la plupart des cas des options permettant l'invisibilité du programme exécuté existent.
Par contre, les keyloggers s'éxécutent au démarrage de la machine. Tout ralentissement du système au lancement doit sembler suspect. Cependant, avec les nouvelles générations d'ordinateurs il est de moins en moins simple de noter ces ralentissements machines.
En général les fichiers de récupération, cryptés ou non sont stockés avec des noms très peu parlant dans c:/windows/temp. Il est intéressant d'aller tenter d'ouvrir les fichiers contenus dans ce répertoire. Pour ouvrir ces fichiers, cliquer en même temps sur "Shift" et le bouton droit de la souris. Parmi le menu qui s'offre vous verrez l'option "ouvrir avec". Le plus simple est alors de choisir "Note Pad" qui affichera les éléments en mode texte seulement. Vous pouvez, si le fichier n'est pas ou mal crypté retrouver des éléments qui doivent immédiatement vous alerter.
Dans le cas ou vous trouvriez un fichier suspect le plus simple est de commencer par faire travailler votre machine uniquement en local. Déconnectez vous de votre réseau et stoppez toute connexion internet. Cela empèchera aux fichiers de parvenir à l'espion. Prévenez votre adminstrateur qui recherchera via le serveur les échanges de mail et tentera de retrouver l'adresse du destinaire.
Une inspection des tâches qui sont en train d'être exécutées par votre ordinateur s'impose. En effet un simple "Ctrl" "Alt" "Suppr" n'affichera pas les keyloggers alors qu'un programme comme Procdump vous les signalera. En parallèle, recherchez sur votre pc tous les fichiers créés le jour ou vous décrouvrez ce soucis. Dans le pire des cas, il sera peut être nécessaire que vous sauvegardiez tous vos fichiers de données pour ensuite re formater votre disque dur.
Conclusion Les keyloggers sont des outils particulièrement utiles pour les pirates, puisqu'ils permettent en autre de récupérer comme nous l'avons dit les mots de passe et les loggins des utilsateurs. Cependant, ils peuvent aussi être un outil de "surveillance" pour les entreprises. En interne, cela pourrait permettre de vérifier les activités réalisées par les salariés pendant les heures de bureau. Attention, l'utilisation d'un keylogger ne saurait être légale sans consentement préalable du salarié. Sur un poste non connecté à internet, l'installation d'un tel outil implique le passage du pirate sur la machine cible. Le meilleur moyen de prévention reste donc la vigilance, ne pas quitter son poste sans avoir au minimum vérouiller son écran, et bien ne pas diffuser son mot de passe de session à quiconque. Il faut aussi que le mot de passe soit robuste.
QUELQUES CONSEILS SUR LE MOT DE PASSE
Les mots de passe : utilité et méthodologie pour déterminer un mot de passe robuste
Introduction Les mots de passe ont été, dès le début de l'informatique, la solution la plus simple à mettre en oeuvre, et qui procure un minimum de sécurité. Encore aujourd'hui, les mots de passe font légion dans les logiciels, les systèmes d'exploitation, les systèmes embarqués, etc. Pourtant, on considère qu'environ 30% des mots de passe sont amenés à être découverts. Il faut donc les choisir avec soin pour minimiser les risques.
Choix d'un mot de passe Choisir un bon mot de passe n'est pas si évident que ça en a l'air. Il faut respecter quelques règles :
• Ne jamais choisir un mot du langage courant. Des logiciels spéciaux de type dictionary cracking sont spécialisés dans ce domaine.
• Ne jamais prendre un mot qui est proche de vous : Votre prénom, le nom de jeune fille de votre femme, le nom du chien, des enfants, de votre hobby préféré...
• Ne jamais prendre un mot inférieur à 6 lettres. Des logiciels spéciaux de type brute force cracking sont spécialisés dans ce domaine.
• Un mot de passe ne doit jamais être écrit quelque part. La première chose que fait un pirate, est de fouiller dans vos affaires : Regarder dans votre agenda, sous l'écran, sous le clavier, dans votre poubelle, rechercher un fichier du type "mdp.txt" dans votre disque dur, etc.
Bref, le mieux est de prendre un mot de passe constitué de chiffres et de lettres, et éventuellement de majuscules et minuscules. Par exemple : diZmLvc4dKJvc51 est un excellent mot de passe ! Le problème est qu'il est difficile à retenir. Une bonne méthode est de constituer un anagramme. Par exemple, si l'on prend " bonjour toi 2000 ", on peut prendre une lettre sur deux (on oublie les espaces), et couper le chiffre en deux. Ca donne : 20bnoroojuti00. Il n'y a guère mieux comme mot de passe... Encore plus facile à retenir, on peut utiliser le verlant, cela donne : 20toijourbon00. Bien sûr, il existe d'autres méthodes, à vous d'imaginer la vôtre.
Conclusion Maintenant que l'on a un bon mot de passe, il est préférable de prendre deux mesures supplémentaires :
• Prendre un mot de passe différent par application (comptes mail, login FTP, accès à un site web...).
• Changer régulièrement de mot de passe.
Les risques d'intrusion par détection de votre mot de passe sont maintenant considérablement réduits.
![Les Keyloggers : des enregisteurs de touches [A LIRE !!] I_icon_minitime](https://2img.net/s/t/13/52/73/i_icon_minitime.gif){kind=icon}
Jeu 30 Avr - 22:36 par CAT
![Les Keyloggers : des enregisteurs de touches [A LIRE !!] Empty](https://2img.net/i/empty.gif)
![Les Keyloggers : des enregisteurs de touches [A LIRE !!] Ecrancongif2](https://2img.net/h/www.securiteinfo.com/gfx/ecrancongif2.gif)
![Les Keyloggers : des enregisteurs de touches [A LIRE !!] Scheduling](https://2img.net/h/www.securiteinfo.com/gfx/scheduling.gif)
![Les Keyloggers : des enregisteurs de touches [A LIRE !!] Ecrandautodestruction](https://2img.net/h/www.securiteinfo.com/gfx/ecrandautodestruction.gif)
![Les Keyloggers : des enregisteurs de touches [A LIRE !!] Ecranconfig3](https://2img.net/h/www.securiteinfo.com/gfx/ecranconfig3.gif)
