Suite à la lecture de l’un de mes blogs favoris Raymond.cc , je suis tombé sur un article sur l’utilisation d’un keylogger en freeware pour « monitorer » l’utilisation d’un PC…
Sans entrer dans le débat sur l’utilisation de ce type d’outils en entreprise, je considère que cela devrait être illégal (même si c’est parfois pratique).
Toujours est-il que j’avais en fin l’occasion de jouer avec un keylogger et vérifier comment on peut espérer s’en protéger …
Avant de commencer, tout le monde ne sait pas forcement ce qu’est un keyloggger: c’est simplement un petit dispositif (à priori installé à votre insu par un pirate) qui enregistre ce que vous tapez au clavier.
A quoi ressemble le logiciel ?
En gros, on peut voir 3 types d’éléments :
- ce qui se trouve à l’écran (par défaut un snapshot à chaque changement de fenêtre)
- ce qui se trouve dans le presse papier : ici le texte « A quoi ressemble le résultat«
- ce qui est saisi au clavier: ici le texte « a quoi ressembkle <BkSp> …«
A priori, si ce type outil surveille votre PC, vous risquez de divulguer malgré vous tous vos secrets: identifiants, mots de passe, informations confidentiels.
Dans la mesure où les mots de passe dans la fenêtre de connexion sont cachés par des points ou des étoiles, est ce que mon logiciel va les capturer?
Essayons de nous connecter à Borbhal:
Effectivement le mot passe est masqué sur la capture:
Par contre, ce que j’ai tapé au clavier apparaît clairement (avec la correction de mes fautes de frappe):
On peut lire sans difficulté que le compte « user_naif » a pour mot de passe « mon mot de passe »
Pour information, si j’avais utilisé des copier/coller pour m’identifier sur le site, le pirate aura récupérer ces informations en capturant le contenu du presse papier.
Une idée pour se protéger est d’utiliser des claviers virtuels pour taper nos codes plus sensibles.
Le premier est celui que tout le monde possède (sans le savoir): OSK fournit avec Windows
Le résultat n’est pas meilleur…
Le nom du compte et le mot de passe sont fusionnés simplement parce que j’ai utilisé ma souris pour changer de champs…
Est ce que les claviers virtuelles fournis par les solutions de sécurité sont plus efficaces ?
Je fais le test avec l’outil fourni par mon Anti Virus:
Je constate que:
- les captures sont blanches tant que le clavier de sécurité est actif (malgré plusieurs essais, j’ai toujours du mal à y croire)
- Seuls les retours charriots et backspaces sont capturés…
Je n’ai pas essayé avec du SSO pour voir ce qui était transmis mais pour l’instant il n’y a que le clavier de sécurité de ma solution antivirale qui empêche la capture de mes codes confidentielles.
Petites precisions:
- par rapport à un « vrai » keylogger, ce freeware ne transmet rien par Internet
- les captures d’écran prennent beaucoup de place sur le disque (près 15 MO le temps de réaliser les manipulations décrites)
- Même si j’ai fait mes manipulations sur une petite machine virtuelle sous Windows XP cela fonctionne très bien sous Windows
- Vérifier la légalité de ce type de logiciel avant de vous en servir en entreprise
Pour faire suite à cet excellent article, je conseille la lecture du blog Raymond.cc qui évoque la difficulté d’intercepter certains Keylogger.
Celui-ci fonctionnant à un très bas niveau dans le system :
http://www.raymond.cc/blog/elite-keylogger-5-digitally-signed-driver-64-bit-windows-support/
Bonne lecture.