KeySweeper : un chargeur USB pour espionner les frappes de clavier

KeySweeper, qu'on peut traduire par « chercheur de touches », est un appareil espion digne de James Bond. Présenté lundi par un expert en sécurité informatique, c'est un enregistreur de frappe camouflé dans un chargeur USB générique.


Sous ses airs de chargeur USB, ce qu'il est d'ailleurs, le KeySweeper de Samy Kamkar est un adaptateur secteur mural dissimulant de quoi intercepter les frappes de claviers sans fil et transmettre les identifiants et mots de passe saisis.

L'appareil combine, pour ce faire, un récepteur radiofréquence compatible avec le protocole des claviers sans fil Microsoft, un microcontrôleur Arduino et un logiciel maison. Ce logiciel intercepte les données émises par les claviers environnants et les déchiffre. Une interface Web permet dès lors de voir les frappes en direct, mais aussi et surtout de paramétrer l'appareil pour qu'il intercepte automatiquement les identifiants et mots de passe, après la saisie d'une chaine de caractères prédéfinie, telle que www.gmail.com. Il peut enregistrer les saisies en mémoire, en vue d'un transfert différé, mais il peut aussi les transmettre par SMS par le biais d'un modem cellulaire. L'appareil peut enfin renfermer une batterie pour continuer à fonctionner même lorsqu'il n'est pas utilisé comme chargeur USB.

Samy Kamkar fournit la conception et le code source de son KeySweeper sur son site Internet. L'appareil coûte 10 à 80 dollars, en fonction des « options » retenues, et est donc à la portée de toutes les bourses. C'est une nouvelle preuve de concept en faveur des gestionnaires de mot de passe et de l'authentification forte à deux facteurs, contre lesquels un tel dispositif est inoffensif.