Arsenal Red Team – Episode 6 : Le Keylogger

Sécurité de l'information
Arsenal Red Team – Episode 6 : Le Keylogger

Comme son nom l'indique le keylogger est un enregistreur de frappe clavier qui se place entre le clavier et l'ordinateur. Sa mémoire lui permet de stocker toutes les touches saisies par un utilisateur sur le clavier.

L’objectif de ce dispositif est de consigner les informations saisies par un utilisateur. Il est par exemple possible de récupérer des identifiants, mots de passe ou tout autre information confidentielle ou non.

L'avantage du keylogger est sa discrétion, il lui suffit d’un port (généralement USB), ce dispositif étant purement matériel, il est indétectable par les logiciels de sécurité (antivirus).

Il existe 3 types principaux de keylogger.

La version classique

On le connecte sur un port physique du poste et toutes les touches tapées sont enregistrées et peuvent être consulté à postériori après récupération du matériel. 

 

Une fois la victime piégée, l’attaquant n’a plus qu’à récupérer le dispositif, et consulter les résultats. Il lui suffit de connecter le keylogger à son poste et d’appuyer simultanément sur les touches « S », « B » et « K ».

L’enregistreur de frappe apparaitra alors comme un lecteur amovible contenant un fichier regroupant l’ensemble des touches saisies par la victime.

 

La version Wi-Fi

Comme dans le premier cas il faut commencer par connecter le keylogger à un port physique, à ce moment là le keylogger monte un point d’accès auquel l’attaquant peut se connecter.

Pour récupérer les touches saisies par la victime presque instantanément, l’attaquant se connecte à point d’accès Wi-Fi et accéde à l’interface présentée à l’adresse 192.168.4.1.

 

             

La version intégrée

Cette version est la plus discrète, le dispositif s’insère à l’intérieur du clavier.

 

Cela le rend alors très difficilement détectable. L’inconvénient est qu’il est nécessaire de récupérer le clavier complet afin de consulter les résultats de l’enregistrement.

De la même manière que pour le keylogger classique il est nécessaire d’appuyer simultanément sur les touches « S », « B » et « K » pour récupérer l’ensemble des touches saisies par la victime.

Des keyloggers pour quels scénarios ?

Différents scénarios Redteam peuvent être envisagés :

  • Une intrusion physique dans le bureau non verrouillé d’un collaborateur.
  • L’utilisation de technique d’ingénierie sociale, par exemple en se faisant passer pour une personne du SI pour inciter la victime à brancher le keylogger sur son poste.

 

Comment s’en protéger ?

Certaines bonnes pratiques peuvent permettre de réduire les risques de vol de données à l’aide de keylogger :

  • Le contrôle d’accès : L’accès aux bâtiments, aux salles de réunion ou poste de travail doit être strictement contrôlé. Toute personne extérieure qui pénètre dans les locaux doit être accompagnée et se voir fournir, le cas échéant un badge disposant de droit d’accès restreints.
  • La sensibilisation : il est important d’adopter de bonnes pratiques comme le verrouillage de son bureau lors d’une absence prolongée, mais également la vérification régulière de son matériel. Enfin, il est impératif de signaler dans les meilleurs délais toute présence d’équipements suspects aux personnes en charge de la sécurité de l’entreprise.

 

Cadre légal

L’utilisation de ce type de dispositifs s’inscrit dans un dans un cadre légal strict.

La  CNIL précise que ce type d’outil peut, par exception, être installé sur les postes informatiques des salariés, mais uniquement de manière exceptionnelle s'il existe des impératifs forts de sécurité (lutte contre la divulgation de secrets industriels, par exemple).

Il est indispensable de consulter le Comité Social et Economique (CSE) avant de mettre en place un système de contrôle de l’activité des employés. Si la procédure n’est pas respectée, l’entreprise risque jusqu'à 3 750 euros d’amende et/ou un an d’emprisonnement pour « délit d’entrave » (article L 263-2-2 du code du travail).

La CNIL précise, en outre, que la loi d'orientation et de programmation pour la performance de la sécurité intérieure du 14 mars 2011 punit dorénavant de 5 ans d'emprisonnement et de 300 000 € d'amende l'utilisation, mais aussi la vente, de certains dispositifs de captation de données informatiques à l'insu des personnes concernées.

 

Jordan Barbosa, Auditeur sécurité, Advens