Keyloggers, Midi E-News, 09/2005
Cet article a été rédigé pour MideNews, la lettre d'informations de la Mélée Numérique.
Comment se protéger des Keyloggers ?
La récente affaire révélée par la société Sunbelt a attiré l'attention sur un "nouveau" péril informatique, les keyloggers (littéralement : enregistreurs de frappe au clavier). En réalité, cette classe d'outils existe depuis très longtemps. Ils deviennent simplement plus visibles car ils sont utilisés à des fins délictueuses de grande ampleur.
Un keylogger est une forme spécifique de logiciel espion (ou spyware), qui intercepte toutes les frappes faites au clavier. Il agit avant que ces informations (les touches enfoncées) ne soient transmises, par le système d'exploitation, aux applications auxquelles elles sont destinées. Il agit donc, pour prendre un exemple, avant que votre navigateur favori ne chiffre ces mêmes caractères pour les envoyer vers un site Web. De ce poste d'observation privilégié, le keylogger peut collecter toutes les informations sensibles qui sont entrées à l'aide du clavier : mots de passe, numéros de carte bancaires, etc. Tout ce qui est tapé ainsi est traité par le keylogger, qui en fait ce qui bon lui semble (en général, il ne retient que « ce qui l’intéresse » , le stocke puis le transmet à un site sur Internet, où ces informations sont collectées, décantées puis utilisées). Il agit comme un micro dans un combiné de téléphone : même si la ligne est chiffrée, le micro intercepte les paroles, pas la communication.
Des milliers de numéros de cartes bancaires auraient été dérobées via un keylogger
Dans le cas du programme découvert par Sunbelt, qui a été baptisé Srv.SSA-KeyLogger, les informations collectées, correspondant à des milliers de personnes, sont assez extensives : numéros de sécurité sociale (très importants aux USA), numéros de cartes bancaires, comptes et mots de passe, mots clés utilisés sur des moteurs de recherche, etc. Comme on le constate, il s'agit surtout de données de nature personnelle, et non pas de nature industrielle ou commerciale. Ce qui ne signifie pas qu'il n'existe pas de programmes similaires dont l'objectif est de faire ce que l'on appelle pudiquement de l'intelligence économique. Le cœur d’un keylogger est l’interception des frappes au clavier. Ce qui est fait de ces informations (les ignorer, les conserver, les envoyer « ailleurs ») dépend de l’intention de l’auteur de l’outil. Il est donc parfaitement envisageable que des entreprises, petites, moyennes ou grandes, soient ainsi attaquées, pour les informations qu’elles manipulent, pour les liens privilégiés qu’elles ont avec d’autres sociétés, ou pour tout autre objectif d’intelligence économique au sens large.
La diffusion des keyloggers se fait en utilisant les mêmes vecteurs que les spywares et les virus informatiques. Cette facette du problème est donc connue, à défaut d'être maîtrisée et résolue. Il en est de même de la protection contre les keyloggers : il est nécessaire de maintenir une stricte prophylaxie d'utilisation des ressources informatiques, et de gérer leur bonne mise à jour. Mais, et cela est vrai pour tous les programmes malévolents, ces précautions ne suffisent pas. Il existe de nombreuses failles informatiques qui ne sont connues que de petits groupes d’individus, qui les utilisent avec précautions et les gardent jalousement. Au fil du temps, certaines de ces failles sont découvertes et corrigées, fermant un vecteur d’attaque. Mais il ne fait aucun doute que de nombreuses autres existent et sont activement utilisées. Un programme malévolent peut, en utilisant ces vulnérabilités « secrètes », pénétrer et s'installer dans un réseau qui ne serait protégé que par un système périphérique (ce qui est souvent le cas : le garde-barrière, point unique de sécurité du réseau ; la situation est encore plus simple pour un ordinateur individuel connecté au réseau sans une protection un tant soit peu sérieuse). Le programme ne sera pas détecté par les anti-virus (sinon, les vulnérabilités sur lesquelles il repose pour s’installer auraient été identifiées, à défaut d'être corrigées). Le keylogger est donc sur une ou plusieurs machines (voire toutes) de votre réseau, actif mais invisible aux outils classiques. Certains programmes malévolents prennent d’ailleurs la précaution de désactiver les mises à jour des anti-virus et autres outils de protection.
La seule protection efficace : l'analyse du trafic réseau
Comment détecter un tel programme ? Par l’analyse du trafic réseau qu'il génère (c'est d'ailleurs ainsi que la société Sunbelt a fait sa découverte). Un keylogger, comme tout logiciel espion, n'existe que pour transmettre des informations vers les auteurs ou les clients de l'outil. Il envoie donc des informations sur le réseau, qui peuvent être interceptées et analysées. Cela n'est pas une tâche aisée, du fait du volume des données à analyser, mais c'est l'une des seules techniques vraiment efficaces dans ce type de situation. Nous soulignerons que cette tâche est facilitée par une architecture réseau pensée dans le sens de la sécurité. Et que ces mêmes réflexions préalables sur l’architecture et la sécurité peuvent empêcher un logiciel espion de communiquer avec l’extérieur, ou considérablement limiter sa liberté d’action.