Qu’est-ce qu’un keylogger ?
On peut l’appeler “enregistreur de frappe” en français et comme son nom l’indique, il s’agit d’un programme qui enregistre fidèlement les séquences de touches tapées au clavier. Le keylogger fait partie des logiciels espions car il agit généralement en arrière plan comme un processus invisible et silencieux tout en récoltant des données très sensibles. Il peut enregistrer les touches dans un fichier de “log”, les envoyer vers une adresse e-mail ou vers un serveur distant, via FTP par exemple. 90% des keyloggers voire plus visent les systèmes Windows même si des keyloggers pour les autres systèmes d’exploitation comme Linux existent. Avis aux utilisateurs de Mac et Linux, oui vous avez raison sur ce point, vous avez moins de chance d’en attraper un ! C’est l’un des moyens les plus connus pour pirater un compte, d’où leur forte popularité. Les langages utilisant la méthode RAD (Rapid Application Development) ont favorisé cette prise en main facile de tels programmes malveillants. Généralement un keylogger peut tenir longtemps sur un ordinateur de part le fait qu’il soit indétectable par l’utilisateur (invisible). Mais même si l’antivirus ne détecte pas le programme malveillant, nous saurons le détecter à travers cet article !Types de keyloggers
On distingue communément deux types de keyloggers :- Le keylogger logiciel : Celui qu’on connaît habituellement, le programme espion dont on parlera dans cet article.
- Le keylogger matériel : Qui est un petit dispositif physique achetable pour une trentaine d’euros sur le net mais qui n’est pas simple d’usage car il doit être installé physiquement sur un ordinateur cible (généralement à brancher entre le clavier et le pc, ou à intégrer directement dans le clavier).
Comment fonctionnent-ils exactement ?
On s’intéressera aux détails sur les keyloggers fonctionnant sous Windows, même si le principe reste globalement le même pour tous. Le keylogger une fois exécuté commencera généralement à s’assurer qu’il puisse se relancer automatiquement à chaque démarrage du système. C’est un premier indice de sa présence. Ensuite, il exécutera ses fonctions à chaque lancement. Il utilise les APIs (interfaces de programmation) de Windows pour récupérer les évènements du clavier. Il va insérer une fonction de récupération dans la chaîne d’évènements clavier de Windows. Du coup lorsqu’une touche est tapée, Windows récupère le message, initialise une structure contenant le code de la touche appuyée et l’envoie à toutes les fonctions qui “écoutent” les événements du clavier. Cela n’est pas une menace telle quelle car beaucoup d’applications ont besoin de récupérer les événements du clavier pour un intérêt totalement légitime comme la mise en place de raccourcis clavier. Ce qui pose donc un problème de détection pour les antivirus. Puis un timer (compteur) est déclenché à intervalles réguliers pour par exemple envoyer un e-mail contenant les données enregistrées. Une seconde piste de détection s’offre donc à nous : Il utilise le réseau. Le message est envoyé aux autres fonctions qui écoutent les événements du clavier pour ne pas bloquer la chaîne. Il répète continuellement ces étapes jusqu’à l’arrêt du système et recommencera le lendemain en toute transparence.Que récupèrent-ils exactement ?
Le keylogger tel qu’on l’entend récupère seulement les séquences de touches tapées au clavier. Mais le keylogger de ne jours est devenu beaucoup plus redoutable. On distingue même le keylogger du logiciel de surveillance qui lui peut récupérer énormément de données, quelles soient audio, textuelles ou visuelles. Un logiciel de surveillance peut par exemple prendre des captures d’écran, récupérer le contenu du presse-papier dynamiquement, récupérer les conversations Skype (et MSN à l’époque) reçues ET envoyées, récupérer ou désactiver des sites web peu importe le navigateur, exécuter ou supprimer d’autres programmes…etc. Ça fait peur n’est-ce pas ?
Il est courant de trouver des keyloggers proposant beaucoup plus de fonctionnalités que la simple récupération des touches du clavier