Keyloggers, Troyens et Backdoors

Traduction : virgileATfrelon.com

Bon, vous avez mis en place un système d'encryption PGP de vos données et de vos mails (en suivant les conseils du site) et en toute logique vous utilisez la passphrase la plus difficile à cracker au monde, n'est-ce pas ? Cependant il faut savoir que si les autorités (ou toute autre force d'opposition) veulent vraiment accéder au contenu de vos données encryptées, il y a encore quelques méthodes à leur disposition. Celles-ci consistent en l'utilisation de keyloggers (= enregistreurs de frappe au clavier) matériels ou logiciels, de troyens et de backdoors (= portes dérobées).

Nous partons du postulat que l'Etat est intéressé par vos activités au point de pénétrer dans votre maison ou votre réseau informatique pour y installer un keylogger (matériel ou logiciel) ou une backdoor dans votre ordinateur. Libre à vous d'adapter ce scénario à votre situation. Nous avons estimé que ce site n'aurait pas été complet sans aborder ce sujet et les démarches à suivre pour protéger votre système informatique contre ce type d'invasion.

Le contrôle physique de l'intégrité de votre matériel et de vos logiciels reste le moyen le plus fiable à votre disposition. Cela signifie que si votre machine contient des données importantes, vous devez faire tout ce qui est en votre pouvoir pour assurer la sécurité physique de l'ordinateur. Les ordinateurs portables et autres PDA ont ici l'avantage certain de leur taille qui permet, à la différence d'un ordinateur de bureau, sinon de les avoir constamment sur vous, au moins de pouvoir facilement s'assurer qu'ils sont éteints et hors d'atteinte.


Les keyloggers (= enregistreurs de frappe au clavier)

Les enregistreurs de frappe au clavier (keyloggers), qui peuvent être matériels ou logiciels, ont pour fonction d'enregistrer furtivement absolument tout ce que vous tapez sur un clavier d'ordinateur, et de transmettre ces données, parfois par mail ou site web, à l'agence ou à l'individu qui vous espionne. La plupart des keyloggers enregistrent également le nom de l'application en cours, la date et l'heure à laquelle elle a été exécutée ainsi que les frappes de touches associées à cette application. Le recours à des keyloggers est de plus en plus fréquent dans le cadre de l'exercice de la loi et ils bénéficient également d'une popularité grandissante parmi les dirigeants d'entreprise. Leur capacité à enregistrer véritablement touche par touche tout ce qui est tapé sur un clavier --et ce avant qu'aucune opération de chifrement n'ait eu lieu-- leur donne accès aux phrases et mots de passe et autres données habituellement bien dissimulées.

Les keyloggers matériels sont ce qu'ils désignent, à savoir des dispositifs reliés à votre clavier qui enregistrent les données. Ces dispositifs ressemblent généralement à un adapteur standard de clavier; ils peuvent de fait être difficile à repérer si vous ne les recherchez pas spécifiquement. Afin de récupérer les informations enregistrées dans un keylogger matériel, l'instigateur de la surveillance doit de nouveau y accéder physiquement. Les keyloggers matériels enregistrent les données localement et n'ont généralement pas la faculté de diffuser ou de faire transiter et sortir les données via un réseau. Si vous souhaitez voir à quoi ressemble un keylogger matériel (vous saurez ainsi ce qu'il faut rechercher), jetez un oeil aux produits KeyKatcher et Key Ghost qui sont les deux modèles les plus répandus sur le marché. KeyGhost fabrique aussi des claviers avec keylogger intégré, ce qui en rend la détection bien plus difficile. Notez que parce que ce sont des dispositifs de type matériel, KeyKatcher et KeyGhost ne peuvent être détectés par les logiciels anti-spyware, anti-viraux ou de sécurisation de votre station de travail. De fait, vous devez contrôler -de visu- l'arrière de votre ordinateur, à l'endroit où le clavier est branché (voire même l'intérieur du clavier) pour détecter la présence d'un keylogger matériel.

Les keyloggers logiciels sont beaucoup plus répandus parce qu'ils peuvent être installés à distance (via un réseau, par le biais d'un troyen ou d'un virus), et ne nécessitent donc pas un accès physique à la machine pour la récupération des données collectées (souvent l'envoi se fait par email et ce, de façon périodique). A la différence de leurs pendants matériels, les keyloggers logiciels ont souvent la faculté d'obtenir bien plus de données parce qu'ils ne sont pas limités par la taille physique de leur mémoire. Parmi les centaines de keyloggers logiciels existants, le plus connu est "Invisible KeyLogger Stealth" (IKS) de la société Amecisco, ou encore les produits Spector, KeyKey Monitor, 007 STARR, Boss Everywhere et I-See-Ua. Essayez-les si vous souhaitez voir comment ils fonctionnent et le type de données qu'ils peuvent fournir une fois installés.

Il est de notoriété publique que le FBI utilise des keyloggers logiciels et matériels. En décembre 2001, le FBI a ainsi placé un keylogger matériel sur l'ordinateur d'un membre d'une famille du crime organisé, et ce sans avoir obtenu au préalable lde mandat de mise sur écoute. Dans cette affaire, la Cour Supreme des Etats-Unis a estimé que le FBI n'avait pas besoin d'une autorisation pour enregistrer les frappes sur le clavier d'un ordinateur. Pour plus d'information à ce sujet, cliquez ici. Pour un exemple d'utilisation de keylogger logiciel, recherchez des informations sur Magic Lantern, un logiciel développé dans le cadre du projet Carnivore du FBI. C'est un cheval de troie doté d'un keylogger spécialement conçu pour la collecte d'informations sur les clés de cryptage et la transmission de ces données au FBI.

Détecter les enregistreurs de frappe

La seule manière de repérer les keyloggers matériels est de vous familiariser avec ces dispositifs et de faire une vérification visuelle complète de votre machine de façon régulière. Il peut être judicieux de prendre des photos de l'intérieur et de l'extérieur de votre ordinateur lorsque vous en prenez possession afin de s'assurer que tout semble bien être à sa place lors de vos vérifications. Allez faire un tour sur la page de SpyCop consacrée à ce sujet afin de vous faire une idée ce qu'il vous faut rechercher.

La lutte contre les keyloggers logiciels peut passer par la prise d'un cliché virtuel du contenu de votre disque et de toutes les modifications de fichiers effectuées par les programmes. Vous devez prendre un nouveau cliché virtuel à chaque installation d'un logiciel ou à chaque mise à niveau de votre système afin de le garder à jour. Vous devriez aussi conserver ce cliché en dehors de votre ordinateur et dans un endroit tenu secret afin que personne ne puisse le modifier, localement (par un accès physique à la machine) ou à distance. Parmi les produits permettant de réaliser ce type de cliché, on trouve Snapshot Spy Pro et ArkoSoft System Snapshot (pour les plateformes Windows). Fcheck est un des programmes les plus dignes de confiance pour les machines sous GNU/Linux - nous espérons que quelqu'un pourra nous dire si ce produit fonctionne aussi sous plateforme OSX.

Il y a aussi quelques programmes spécialisés dans la détection de keyloggers logiciels. Les produits Anti-keylogger et SpyCop ont eu de bonnes apprécations. Ces programmes ne sont pas gratuits mais Anti-keylogger propose une version d'évaluation qui vous premettra de scanner votre machine à la recherche de keyloggers. Nous n'avons pu tester complètement ces produits parce que nous n'en avons pas fait l'acquisition. A l'heure actuelle et à notre connaissance, aucun produit ne détecte spécifiquement Magic Lantern (merci de nous envoyer un email si vous en connaissez.

Troyens & Backdoors

Une autre méthode que pourrait employer une agence d'espionnage est l'utilisation d'un troyen équipé d'un programme de type backdoor. Un troyen est un programme d'apparence inoffensive mais qui contient une charge utile dangereuse, tout comme le Cheval de Troie de la mythologie grecque. De la même manière qu'un virus est souvent dissimulé, un troyen peut prendre l'apparence d'un jeu ou de tout type de fichier exécutable (est-il nécessaire de vous rappeler qu'il ne faut pas ouvrir les fichiers .exe et les pieces jointes provenant de personnes que vous ne connaissez pas ?)

Une fois exécutés par la victime, ces troyens mettent en place une backdoor (ou alors ouvrent une brêche dans la sécurité du système au moyen de quelques lignes de code, ce qui permettra ensuite l'installation de la porte dérobée). Un programme de type backdoor permet à l'intrus d'accéder à votre ordinateur aussi longtemps que vous êtes connectés à l'internet. C'est une sorte de télécommande, généralement très complète qui donne accès à tous les fichiers et ressources de votre ordinateur.

Il est bien sûr très important de ne pas avoir de backdoor dans son ordinateur. La meilleure protection passe par l'utilisation d'un programme antivirus efficace et à jour. Pour la plupart, ceux-ci arrêteront les troyens et les backdoors; mais si vous êtes connecté de façon permanente à internet vous devriez installer un bon firewall matériel ou logiciel. Il y en a un gratuit et simple d'utilisation appelé ZoneAlarm.Le firewall est aussi recommandé aux utilisateurs de modems classiques qui souhaitent renforcer leur sécurité.

Si votre ordinateur se comporte de façon étrange et que vous pensez que vous avez une backdoor (comme si quelqu'un avait un clavier branché à distance sur votre machine), débranchez manuellement votre ligne téléphonique ou adsl pour couper la connexion et installez un très bon antivirus. Ne vous reconnectez pas à internet (même pas pour récupérer vos emails) avant d'être absolument certain que votre système est sain.

Autres logiciels

Symantec propose la ligne de produits Norton fonctionnant sur plateforme Windows et Macintosh qui détectent les virus, assurent une protection firewall et permettent de réaliser des clichés virtuels du système.

Documentations et Ressources (en anglais)





security.tao.ca index.
index de Bug Brother.



security.tao.ca en français est maintenu par bigband@bugbrother.com .
Commentaires, critiques et rajouts bienvenus.