Qu'est ce que c'est ?
Les keyloggers sont des enregistreurs de touches et par extension des enregistreurs d'activités informatiques permettant d'enregistrer les touches utilisées par un utilisateur sur son clavier et tous les évènements déclenchés.
Dangereux, ils ne sont pourtant pas répertoriés parmis les virus, vers, ou chevaux de Troie car ils n'ont pas pour objectif de modifier quoi que se soit dans la machine cible et permettent simplement l'enregistrement d'informations. Ils sont donc très utiles par exemple en cas d'espionnage industriel.
Objectif :
L'objectif des keyloggers est d'enregistrer et de restituer tout le travail qui a été réalisé par un utilisateur. Les touches enregistrées permettent effectivement de retracer non seulement le travail courant, mais aussi de récupérer tous les identifiants et mots de passe. Un espion peut alors connaître vos moindres faits et gestes sur votre machine de bureau.
Mode d'action :
Le mode opératoire des keyloggers est identique, même s'il existe une multitude de keyloggers différents. Ils sont installés directement par le pirate sur la machine visée, si l'ordinateur n'a pas de connexion internet permettant une installation à distance via un cheval de Troie.
En général, les keyloggers se lancent directement au démarrage de la machine hôte. Une fois le keyloggers lancé, il enregistre au fur et à mesure tout ce qui est frappé sur le clavier. Dans la plupart des cas, si la machine cible est pourvue d'une connexion internet, le keylogger enverra discrètement, à une adresse mail ou à un serveur internet, un fichier, généralement crypté, contenant tous les renseignements collectés. Ainsi l'espion aura tout le temps nécessaire pour retracervotre activité et sélectionner les éléments qui lui semblent utiles. En fonction du keylogger sélectionné différents types d'écran de configuration existent.
Dans cet écran, vous pouvez constater qu'en fonction des informations qui intéressent le pirate, il est possible de choisir quel type de touches seront enregistrées dans le fichier log. Ici, nous avons choisi d'enregistrer toutes les touches du clavier pour vous donner une copie écran plus explicite de ce qu'enregistrera le fichier de traces.
En complément des touches enregistrées vous pouvez constater ici que des éléments importants comme la date, les applications ouvertes et le choix ou non du cryptage du fichier de trace sont possibles. Le password réclamé par le keylogger permet d'assurer au pirate que lui seul pourra décrypter le fichier. Même si un utilisateur découvrait un fichier crypté il ne saurait reconnaître les éléments contenus à l'intérieur. En effet il n'est pas évident de comprendre l'extrait crypté d'un fichier log comme :
"#tJ|{/gir}olT"YbuR\"ZQfy~"K`haxZ"OR]"K`tsar}//t]"Zgro|~gnon"K`xar/tJ|koa"Zal/"\z}"K`"
L'option de planification de l'activité du keylogger peut être très utile au pirate. En effet, il peut planifier les jours et moments auxquels le keylogger doit se mettre en fonction. Cela permet de n'avoir que les informations désirées et favorise une plus grande discrétion puisque la mémoire dans laquelle le keylogger s'intalle généralement n'est sollicitée qu'à des moments bien précis.
Selon le keylogger choisi, il est possible de paramétrer l'option "auto-destruction". Dès lors impossible à l'utilisateur ou à l'administrateur du parc informatique de remonter au programme et à l'espion qui se cache derrière. Il suffit de déterminer la plage en nombre de jours pendant laquelle le keylogger doit rester actif sur la machine cible pour qu'automatiquement le logiciel se détruise une fois le délai passé..
Contre-mesures :
Les keyloggers ne sont pas toujours identifés par les anti-virus. Il n'est donc pas évident de les remarquer. En outre, dans la plupart des cas des options permettant l'invisibilité du programme exécuté existent.
Par contre, les keyloggers s'éxécutent au démarrage de la machine. Tout ralentissement du système au lancement doit sembler suspect. Cependant, avec les nouvelles générations d'ordinateurs il est de moins en moins simple de noter ces ralentissements machines.
En général les fichiers de récupération, cryptés ou non sont stockés avec des noms très peu parlant dans c:/windows/temp. Il est intéressant d'aller tenter d'ouvrir les fichiers contenus dans ce répertoire. Pour ouvrir ces fichiers, cliquer en même temps sur "Shift" et le bouton droit de la souris. Parmi le menu qui s'offre vous verrez l'option "ouvrir avec". Le plus simple est alors de choisir "Note Pad" qui affichera les éléments en mode texte seulement. Vous pouvez, si le fichier n'est pas ou mal crypté retrouver des éléments qui doivent immédiatement vous alerter.
Dans le cas ou vous trouvriez un fichier suspect le plus simple est de commencer par faire travailler votre machine uniquement en local. Déconnectez vous de votre réseau et stoppez toute connexion internet. Cela empèchera aux fichiers de parvenir à l'espion. Prévenez votre adminstrateur qui recherchera via le serveur les échanges de mail et tentera de retrouver l'adresse du destinaire.
Une inspection des tâches qui sont en train d'être exécutées par votre ordinateur s'impose. En effet un simple "Ctrl" "Alt" "Suppr" n'affichera pas les keyloggers alors qu'un programme comme Procdump vous les signalera. En parallèle, recherchez sur votre pc tous les fichiers créés le jour ou vous décrouvrez ce soucis. Dans le pire des cas, il sera peut être nécessaire que vous sauvegardiez tous vos fichiers de données pour ensuite reformater votre disque dur.
Conclusion
Les keyloggers sont des outils particulièrement utiles pour les pirates, puisqu'ils permettent en autre de récupérer comme nous l'avons dit les mots de passe et les loggins des utilisateurs. Cependant, ils peuvent aussi être un outil de "surveillance" pour les entreprises. En interne, cela pourrait permettre de vérifier les activités réalisées par les salariés pendant les heures de bureau. Attention, l'utilisation d'un keylogger ne saurait être légale sans consentement préalable du salarié. Sur un poste non connecté à internet, l'installation d'un tel outil implique le passage du pirate sur la machine cible. Le meilleur moyen de prévention reste donc la vigilance, ne pas quitter son poste sans avoir au minimum vérouillé son écran, et bien ne pas diffuser son mot de passe de session à quiconque. Il faut aussi que le mot de passe soit robuste.