Qu’est-ce qu’un enregistreur de frappes ?

5 Avr 2013

De nos jours, les malwares les plus avancés sont composés de différents composants, chacun d’eux possédant une fonction différente. Ces programmes ressemblent plus à des couteaux suisses qu’à des outils individuels qui donnent aux pirates la possibilité de réaliser certaines actions sur le système qu’ils ont compromis. Un composant souvent présent dans ces kits est le keylogger ou enregistreur de frappes, un outil très élaboré conçu pour enregistrer toutes les frappes que vous effectuez avec le clavier de votre ordinateur, ce qui donne au pirate la possibilité de voler une quantité énorme d’informations sensibles sans se faire remarquer.

Keylogger

Définition d’un enregistreur de frappes

Un enregistreur de frappes est un logiciel ou un composant matériel qui a la capacité d’intercepter et d’enregistrer les informations rentrées avec le clavier dans l’ordinateur infecté. Cet outil a souvent l’habilité de se positionner entre le clavier et le système d’exploitation afin d’en intercepter toutes les communications sans que l’utilisateur ne s’en aperçoive. Un keylogger peut soit stocker les données localement sur la machine infectée, soit les envoyer sur un PC à distance contrôlé par le pirate,  s’il fait partie d’un outil d’attaque plus élaboré qui a la possibilité de communiquer avec l’extérieur. Bien que le terme « enregistreur de frappes » soit habituellement utilisé en relation avec des outils malveillants, certains outils de surveillance légitimes utilisés par les agences d’application de la loi, sont également dotés d’enregistreurs de frappes.

Différents types d’enregistreurs de frappes

Bien qu’il existe une grande variété d’enregistreurs de frappes, les deux principales catégories sont les enregistreurs de frappes logiciels et ceux matériels. Les enregistreurs de frappes logiciels sont les plus utilisés : ils  font souvent partie d’un malware plus important comme un cheval de Troie ou un rootkit. Il s’agit de la manière la plus simple d’installer un enregistreur de frappes puisqu’elle ne requiert habituellement aucun accès physique à l’ordinateur. Un type commun d’enregistreur de frappes est capable d’imiter une API sur le système d’exploitation de l’ordinateur ciblé, ce qui permet au keylogger d’enregistrer chaque frappe effectuée sur le clavier de l’ordinateur infecté. Il existe également des keyloggers capables d’intervenir au niveau noyau, d’autres de type « man in the browser », ainsi que d’autres plus complexes.

Les enregistreurs de frappes logiciels sont les plus utilisés : ils font souvent partie d’un malware plus important comme un cheval de Troie ou un rootkit.

Les enregistreurs de frappes matériels sont plus rares, car ils sont plus difficiles à mettre en place sur la machine ciblée. Les keyloggers matériels requièrent souvent que le pirate accède physiquement à la machine ciblée, que cela soit au moment de la fabrication de l’appareil ou après sa distribution. Certaines versions matérielles peuvent être installées pendant le processus de fabrication, comme par exemple les enregistreurs de frappes installés au niveau du BIOS. Un individu malveillant pourrait installer un tel enregistreur de frappes alors que l’ordinateur se trouve encore dans son usine de fabrication. D’autres enregistreurs de frappes peuvent être installés via une clé USB ou un faux connecteur placé entre le câble du clavier et le PC. Bien qu’ils soient plus difficiles à installer, les enregistreurs de frappes matériels peuvent être plus flexibles pour les pirates car ils sont indépendants du système d’exploitation de l’ordinateur.

Méthodes d’infection

Les enregistreurs de frappes logiciels font souvent partie d’un malware plus important. Les machines ciblées peuvent être infectées via le téléchargement d’une attaque drive-by à partir d’un site Web malveillant qui exploite la vulnérabilité d’un PC et installe le malware. Dans certains cas, les keyloggers sont aussi installés à partir du téléchargement d’une application légitime, en compromettant le canal de téléchargement ou à travers l’insertion du malware dans l’application elle-même. Les keyloggers matériels sont souvent installés par un pirate ayant un accès physique à la machine.

Détection et suppression

Détecter un enregistreur de frappes peut s’avérer difficile car celui-ci ne se comporte pas comme les autres programmes malveillants. Il ne recherche pas de données de valeur afin de les envoyer à un serveur de contrôle-commande, et il ne tente pas de détruire des données comme certains malwares le font. Les enregistreurs de frappes sont conçus pour rester cachés. Les logiciels anti-virus peuvent détecter et supprimer certains types d’enregistreurs de frappes connus. Néanmoins, les enregistreurs de frappes personnalisés ou conçus pour une attaque précise peuvent être difficiles à identifier car ils ne seront pas reconnus immédiatement comme des logiciels malveillants, suivant les actions qu’ils réalisent sur l’ordinateur infecté. Si un utilisateur suspecte la présence d’un enregistreur de frappes sur son ordinateur, il peut avoir recours à différentes techniques afin de contourner le malware, telles que démarrer son ordinateur à partir d’un CD ou d’une clé USB, ou en utilisant un clavier virtuel qui évitera que le malware ne reçoive les informations du clavier.