Si vous ne disposez pas d'un antivirus, vous pouvez potentiellement accueillir un keylogger, ou enregistreur de frappe. Il s'agit d'un logiciel malveillant discrètement installé sur votre ordinateur capable de subtiliser vos données personnelles grâce à l'enregistrement de chacune de vos actions sur votre clavier. Comment fonctionne ce genre de malware et comment s'en prémunir ? C'est ce que nous abordons dans cet article.
Qu'est-ce qu'un keylogger ?
Les keyloggers, également baptisés enregistreurs de frappe ou enregistreurs de touche, sont des logiciels capables d'analyser et détecter à son insu ce que l'utilisateur tape au clavier : messages, recherches, mais surtout identifiants, mots de passe ou coordonnées bancaires… Ils ne sont pas toujours utilisés par des hackers. Au sein d'une entreprise, des administrateurs peuvent avoir recours à leur utilisation. Certains keyloggers commerciaux sont vendus comme des programmes de surveillance et visent les parents inquiets qui souhaitent surveiller les activités de leurs enfants sur le web. Cependant, si le logiciel est installé sur un appareil qui ne vous appartient pas ou sans le consentement de la personne, son utilisation est illégale et devient malveillante.
Les keyloggers font partie de la famille des spyware, des logiciels malveillants qui s'installent discrètement sur une machine pour en obtenir des informations en temps réel. Ils ne sont, par contre, pas considérés comme des virus informatiques à proprement parler, car leur fonctionnement ne repose pas sur la modification de code ou la prise de contrôle de l'appareil. Leur rôle est de se faire tout petit sur l'ordinateur pour enregistrer les données sans se faire remarquer. Une suite de sécurité ou un antivirus gratuit pourra cependant vous en protéger.
Les différents types de keyloggers
Il existe deux grands groupes d'enregistreurs de frappe : les keyloggers logiciels et les keyloggers matériels.
Les keyloggers logiciels sont les plus répandus et ce sont eux qui sont l'objet de cet article. Ils exploitent des fonctionnalités du système d'exploitation (généralement Windows) pour surveiller les données de la frappe et peuvent même être capables de récupérer les mots de passe remplis automatiquement par le navigateur.
Un autre type d'enregistreurs de touche agissant au niveau software existe. Cette fois, le programme agit non plus sur une option de l'interface utilisateur, mais intercepte les communications à l'échelle du kernel (le noyau). Ce sont donc les échanges entre le matériel et le logiciel qui sont volés et traduits. Pour ça, le keylogger peut se faire passer pour un pilote de clavier et ainsi voler chaque information envoyée par le clavier au système d'exploitation. Ils sont aussi difficiles à créer qu'à détecter.
Enfin, nous avons les keyloggers matériels. Ils sont rares, car il faut avoir eu un accès physique à l'appareil visé pour installer le dispositif, qui prend la forme d'un petit boitier. Ils sont impossibles à utiliser sur smartphone et sur ordinateur, il est relativement aisé de les détecter. Ce ne sont clairement pas les enregistreurs de frappe dont il faut le plus se méfier, même s'il faut toujours rester vigilant.
Les keyloggers sur Android et iPhone
Les ordinateurs ne sont pas les seules cibles des keyloggers. Les mobiles sous Android sont également concernés par le problème. Même s'ils ne peuvent pas être compromis par un keylogger hardware, un enregistreur de frappe logiciel peut les infecter. Ils peuvent prendre la forme d'une application au premier abord légitime, avoir été ajouté à l'appareil à l'insu de l'utilisateur ou encore infecter un appareil de la même façon que sur un ordinateur, suite à du phishing (SMS ou mail) ou en visitant un site suspect. Sur un iPhone, le risque est moindre grâce aux protections mises en place par Apple. Mais si vous avez eu recours au jailbreak pour "débrider" votre iPhone, vous pouvez l'avoir rendu vulnérable et être ainsi infecté par un keylogger.
Sur Android et iOS, un keylogger ne se contentera pas forcément de réaliser des enregistrements des touches. Il pourra également prendre des captures d'écran de vos conversations et de votre activité en ligne, surveiller votre caméra et votre microphone ou même vous empêcher de visiter certains sites.
Autrement dit, ne pensez pas que le risque d'être infecté par un enregistreur de frappe ne concerne que votre ordinateur sous Windows. Votre smartphone Android est également vulnérable et, de manière moindre, il est possible d'être infecté en utilisant un Mac ou un appareil sous Linux.
Comment fonctionne un keylogger ?
Comme tous les spywares, les enregistreurs de frappe se retrouvent généralement installés sur une machine suite à la visite d'un site web malveillant ou hébergeant à son insu des contenus ou publicités malveillantes, à l'ouverture d'une pièce jointe d'un mail, ou au téléchargement gratuit d'un jeu vidéo, film, musique ou logiciel.
Les keyloggers sont des fichiers exécutables qui interagissent avec les interfaces de programmation du système d'exploitation, comme le ferait n'importe que logiciel. Dans le cas de Windows, ils vont notamment avoir recours à la commande de crochetage "SetWindowsHookEx" couplé à un DLL (bibliothèque de liens dynamiques) pour obtenir les événements du clavier. Bon nombre de logiciels légitimes y ont recours également, c'est d'ailleurs pour cela que Windows autorise l'accès à ces informations.
Le keylogger se lance dès le démarrage de Windows pour enregistrer absolument toutes les frappes effectuées au clavier. Les données récupérées sont ensuite transférées aux pirates à intervalle régulier.
Ceux-ci pourront alors revendre les informations volées. Certains d'entre eux peuvent même envoyer en temps réel les données qu'ils récoltent.
Comme tous les malwares, les keyloggers se complexifient et s'améliorent au fil du temps. Ils ne se limitent plus à l'enregistrement de frappes de clavier, mais copient également le contenu du presse-papier, font des captures d'écran à intervalle régulier, enregistrent chacun des sites web visités, chacune des conversations ou simplement la majorité des activités réalisées sur l'appareil.
Certains keyloggers disposent de filtres. Ils ne s'activent alors que sur certains sites bien spécifiques qui intéressent particulièrement les hackers : banques, PayPal etc. Le trojan Zeus, qui contenait un keylogger parmi ses nombreuses fonctionnalités, utilisait cette technique pour déterminer quels sites la victime visitait et enregistrait ainsi des informations lorsqu'un site bancaire était visité. Certains de ses variants se concentraient plutôt sur les emails.
Les comptes bancaires, cible des keyloggers
Tous les identifiants ne se valent évidemment pas. Les pirates vont chercher en priorité les données bancaires, facilement exploitables quand récupérées. Ils revendent généralement ces informations, qu'ils n'utilisent pas eux-mêmes pour des soucis de discrétion et pour brouiller les pistes. Ceux qui entrent alors en possession des identifiants bancaires peuvent avoir recours à plusieurs stratégies : siphonner agressivement le compte ou au contraire le ponctionner régulièrement de petites sommes en espérant que la victime ne s'en rende pas compte. Un procédé qui fonctionne de moins en moins grâce aux notifications des applications bancaires. Évidemment, PayPal constitue de même un objectif de choix.
Autres cibles, les identifiants de comptes pour lesquels il y a de fortes chances qu'une carte bancaire soit liée. On pense à Amazon, mais aussi à des services de livraison comme Glovo ou Deliveroo, aux apps de VTC type Uber, aux plateformes de SVOD à la Netflix… Ces identifiants ont également une certaine valeur, car peuvent permettre de profiter de certains services sans payer, même si on ne peut pas réaliser directement des transferts d'argent.
Comment savoir si on a été infecté par un keylogger ?
Il est assez difficile de déterminer si l'on a été infecté par un keylogger. Leur but est de rester indétectable le plus longtemps possible et les plus sophistiqués arriveront à dissimuler leur activité en se faisant passer pour des fichiers ou du trafic légitime. Ils peuvent même se réinstaller automatiquement. Mais, si vous avez été victime d'un keylogger d'une qualité pauvre, certains comportements suspects de votre appareil peuvent vous mettre la puce à l'oreille.
Vous pouvez par exemple remarquer que votre navigation sur Internet est plus lente qu'à l'accoutumée, qu'un décalage existe entre les mouvements de votre souris ou les frappes de votre clavier et ce que vous voyez à l'écran ou encore que certains sites sont inaccessibles. Dans certains cas, le keylogger n'est qu'une partie de l'attaque. Le trojan Zeus, par exemple, enrôlait également les appareils infectés dans un réseau de botnets. Ces malwares supplémentaires peuvent empêcher le bon fonctionnement de votre système et vous permettre de déterminer que vous avez été infecté.
Que faire en cas d'infection par un keylogger ?
Si vous pensez avoir été infecté par un enregistreur de frappe, plusieurs solutions s'offrent à vous. La première, arrêtez d'utiliser l'appareil compromis et modifiez vos identifiants sur l'ensemble de vos comptes à partir d'un autre appareil.
Dans le cas d'un enregistreur de frappe peu sophistiqué, vous pouvez trouver trace de son existence dans le gestionnaire des tâches. Il vous suffira donc d'empêcher son exécution au démarrage de l'ordinateur et de le désinstaller comme un programme ordinaire. Certains keyloggers se cachent au sein des fichiers temporaires et il suffit de les supprimer pour se débarrasser du logiciel malveillant. Malheureusement, la plupart du temps, il sera nécessaire de sortir l'artillerie lourde pour détecter la présence d'un keylogger.
La meilleure solution consiste à télécharger un antivirus efficace. Les enregistreurs de frappe les plus sophistiqués sont durs à détecter, même pour un antivirus, mais une bonne partie d'entre eux pourront être débusqués par une suite antivirus à jour et réputée. Enfin, la dernière solution consiste à réinitialiser et réinstaller le système d'exploitation de votre appareil.
Comment se protéger d'un keylogger ?
Tout d'abord, il faut faire des efforts dans son usage du web afin d'éviter d'être sensible à une infection par un enregistreur de frappe. N’ouvrez pas de lien ou de pièce jointe dont vous ne pouvez pas authentifier la source par exemple. Pour limiter les risques, évitez les sites web non sécurisés ou les téléchargements de contenus illégaux. Même un logiciel gratuit qui semble légitime peut constituer une façade pour dissimuler un keylogger, renseignez-vous sur le programme en question et sur le site depuis lequel vous le téléchargez. Ensuite, pensez à bien mettre votre système, vos logiciels et vos pilotes à jour, de nombreuses attaques profitent de failles de sécurité et de vulnérabilités. Il serait dommage de se faire avoir alors qu'un patch ou un correctif était disponible. Méfiez-vous également des connexions à vos comptes sur des machines ou des réseaux Wi-Fi publics.
Autre possibilité, taper ses identifiants et mots de passe "dans le désordre". Par exemple, tapez votre mot de passe sauf la première lettre, puis revenez au début pour taper la première lettre manquante. Si certains keyloggers peuvent être trompés, ce ne sera pas le cas de tous. Un outil comme KeyScrambler peut protéger les frappes de votre clavier en les chiffrant.
N'oubliez pas d'activer l'identification à double facteur, qui peut vous éviter bien des problèmes. Ainsi, même avec les bons identifiants, un tiers ne pourra pas accéder à vos comptes, à moins de pouvoir entrer aussi dans votre boite mail ou votre smartphone en cas de A2F via SMS ou application.
Certains antivirus proposent des claviers virtuels, à utiliser sur les sites les plus sensibles. Pour qu'il soit efficace, il faut s'assurer qu'il n'imite pas un clavier classique, ce qui le rendrait inutile contre un keylogger. Les keyloggers les plus sophistiqués peuvent suivre les mouvements de la souris et prendre des captures d'écran à chaque clic, ce qui rend un clavier virtuel inutile.
Mais bien sûr, le plus important est de disposer d'une suite antivirus à jour, qui saura vous protéger des menaces avant qu'elles ne vous infectent et trouver celles qui se cachent déjà sur votre appareil, ordinateur ou smartphone.
Glossaire Antivirus : nos autres définitions
- Qu'est-ce qu'un cheval de Troie (trojan) et comment s’en protéger ?
- Qu’est-ce qu’un malware de type wiper et comment s’en protéger ?
- Qu'est ce qu'un cryptolocker et comment s’en protéger ?
- Qu'est-ce qu'un bloatware et comment s'en débarrasser ?
- Qu'est-ce qu'un ransomware ou rançongiciel et comment s’en protéger ?
- Qu'est-ce que le phishing et comment s'en protéger ?
- Qu'est-ce qu'un logiciel malveillant (ou malware) et comment m'en protéger ?
- Qu'est-ce qu'un rootkit et comment s'en protéger ?
- Qu'est-ce qu'un spyware et comment s'en protéger ?
- Qu’est-ce qu’un botnet et comment s’en protéger ?
Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numériques, des problématiques de vie privée au logiciel libre en passant par la sécurité. Fan inconditionnelle de science-fiction toujours prête à expliquer pendant des heures pourquoi Babylon 5 est ma série préférée.
Lire d'autres articles
