A la découverte d’un keylogger…

Suite à la lecture de l’un de mes blogs favoris Raymond.cc , je suis tombé sur un article sur l’utilisation d’un keylogger en freeware pour « monitorer » l’utilisation d’un PC…

Sans entrer dans le débat sur l’utilisation de ce type d’outils en entreprise, je considère que cela devrait être illégal (même si c’est parfois pratique).

Toujours est-il que j’avais en fin l’occasion de jouer avec  un keylogger et vérifier comment on peut espérer s’en protéger …

Avant de commencer, tout le monde ne sait pas forcement ce qu’est un keyloggger: c’est simplement un petit dispositif (à priori installé à votre insu par un pirate) qui enregistre ce que vous tapez au clavier.

A quoi ressemble le logiciel ?

En gros, on peut voir 3 types d’éléments  :

  • ce qui se trouve à l’écran (par défaut un snapshot à chaque changement de fenêtre)
  • ce qui se trouve dans le presse papier : ici le texte « A quoi ressemble le résultat« 
  • ce qui est saisi au clavier: ici le texte « a quoi ressembkle <BkSp> …« 

A priori, si ce type outil surveille votre PC, vous risquez de divulguer malgré vous tous vos secrets: identifiants, mots de passe,  informations confidentiels.

Dans la mesure où les mots de passe dans la fenêtre de connexion sont cachés par des points ou des étoiles, est ce que mon logiciel va les capturer?

Essayons de  nous connecter à Borbhal:

Effectivement le mot passe est masqué sur la capture:

Par contre, ce que j’ai tapé au clavier apparaît clairement (avec la correction de mes fautes de frappe):

On peut lire sans difficulté que le compte « user_naif » a pour mot de passe « mon mot de passe »

Pour information, si j’avais utilisé des copier/coller pour m’identifier sur le site, le pirate aura récupérer ces informations en capturant le contenu du presse papier.

Une idée pour se protéger est d’utiliser des claviers virtuels pour taper nos codes plus sensibles.

Le premier est celui que tout le monde possède (sans le savoir): OSK fournit avec Windows

Le résultat n’est pas meilleur…

Le nom du compte et le mot de passe sont fusionnés simplement parce que j’ai utilisé ma souris pour changer de champs…

Est ce que les claviers virtuelles fournis par les solutions de sécurité sont plus efficaces ?

Je fais le test avec l’outil fourni par mon Anti Virus:

 

Je constate que:

  • les captures sont blanches tant que le clavier de sécurité est actif (malgré plusieurs essais, j’ai toujours du mal à y croire)
  • Seuls les retours charriots et backspaces sont capturés…

Je n’ai pas essayé avec  du SSO pour voir ce qui était transmis mais pour l’instant il n’y a que le clavier de sécurité de ma solution antivirale qui empêche la capture de mes codes confidentielles.

Petites precisions:

  • par rapport à un « vrai » keylogger, ce freeware ne transmet rien par Internet
  • les captures d’écran prennent beaucoup de place sur le disque (près 15 MO le temps de réaliser les manipulations décrites)
  • Même si j’ai fait mes manipulations sur une petite machine virtuelle sous Windows XP cela fonctionne très bien sous Windows
  • Vérifier la légalité de ce type de logiciel avant de vous en servir en entreprise

Ma rencontre avec trojan-downloader.win32.injecter.lim

Après quelques mois d’absence, je ne résiste pas à partager ma petite expérience du jour: j’ai reçu un mail infecté !

Incroyable! J’avais presque oublié que cela avait existé!

Le plus troublant c’est que j’ai « détecté » le probléme avant mon antivirus….

 

Voici le mail en question:

Ce mail visiblement en provenance de DHL à l’air tout à fait authentique, en particulier quand il est noyé dans des dizaines d’autres reçus le même jour.

Pour être crédible en fait le mail en html affiche le vrai logo de DHL depuis le site dhl-usa.com!

Difficile de faire plus authentique…

De plus, si on regarde en détail l’en-tête du mail, on a un peu de mal à faire le lien avec DHL.

A priori, il viendrait plutôt d’une boîte chez  financial-tracking.com.

Après une rapide recherche, il semble que cette adresse IP soit localisée en Chine.

(le régime chinois fait peut être bien de brider Internet dans son pays)

Je n’ai finalement pas été surpris de voir mon anti-virus détecté « trojan-downloader.win32.injecter.lim » et désinfecté mon mail. En revanche, je suis un peu plus intérrogatif sur le temps nécessaire pour cela… Plusieurs minutes, c’est un peu long.

Prudence donc! Les vieilles menaces demeurent …

Sans être aussi technique, ce mail était suspect pour 3 excellentes raisons:

  • Je n’ai rien envoyé par DHL depuis des années,
  • Je ne suis pas convaincu que DHL parle à ses clients français en anglais,
  • L’adresse où j’ai reçu ce mail ne sert que pour des tests (je ne la donne jamais).

Un bon anti-virus ne remplacera jamais un minimum de bon sens ! 🙂