Skip to main content
Keylogger
Le fou du keylogger

Un keylogger ou enregistreur de frappe est un logiciel espion qui va enregistrer les saisies au clavier des utilisateurs. Toutes ces informations recueillies vont être envoyées à un hacker. Grace au keylogger le hacker va pouvoir récupérer de nombres informations (mots de passe, codes d’accès, numéros de carte bancaire, etc…).

Il y a 2 types de keylogger qui ont la mĂŞme  fonction mais qui s’utilisent diffĂ©remment  :

LES KEYLOGGERS LOGICIELS qui servent à exploiter les fonctionnalités du système d’exploitation. Ils enregistrent les captures d’écran les mouvements de souris et les conversations en ligne de la victime. Ils peuvent aussi enregistrer les saisies au clavier.

LES KEYLOGGERS MATERIELS plus rares, qui enregistrent la saisie au clavier. Leur installation nécessite d’être physiquement proche de la machine contrairement au keylogger logiciel qui peut être déployé à distance après une instrusion.

Le Serial Killogger le plus connu:

En 2017, Ankur Agarwal alors PDG et cofondateur de Clarion Technologies a récolté des informations liés aux mots de passe et les noms des d’utilisateurs des salariés de deux entreprises situées dans le New Jersey pendant près d’un an avant d’être pris la main dans le sac en 2018 lors d'un audit de sécurité. Dans la première entreprise il est rentré physiquement dans les locaux pour installer plusieurs keyloggers sur des postes de travail. En parallèle, il a aussi installé un keylogger logiciel sur le réseau. Son but état de récupérer des documents confidentiels concernant des technologies émergentes.

Pour pirater la seconde entreprise, il s’est fait faire un badge d’accès après avoir récupéré les identifiants d’un employé. Cela lui à permis d’entrer sans difficulté dans l’entreprise et d’y installer des keylogger sur les ordinateurs à disposition pour récupérer des documents en lien avec des technologies en cours de développement.

On pense qu’Ankur Agarwal a volé et utilisé ces nouvelles technologies pour son activité. Démasqué en 2018 lors d’un audit de sécurité, il a écopé de 12 ans de prison et de 25 000 Dollars d’amende.

Que faut-il en conclure ?

Le piratage de ces 2 entreprises est riche d’enseignements. Dans le cas de la première entreprise, lnkur Agarwal a pu s’introduire sans ĂŞtre dĂ©tectĂ©. La sĂ©curitĂ© physique de l’entreprise a donc une incidence directe sur la sĂ©curitĂ© du SI.  C’est pour cette raison qu’elle est abordĂ©e lors d’un audit de sĂ©curitĂ© et ou dans le cadre de la rĂ©daction d’une PSSI.

Dans le second cas, il s’agit d’une vulnĂ©rabilitĂ© ou plutĂ´t d’un manquement au niveau du système de contrĂ´le d’accès Ă  l’entreprise.  En effet, il apparait qu’un mĂŞme collaborateur pouvait avoir 2 badges actifs au mĂŞme moment, sans que cela remonte une alerte. La encore, il s’agit d’une anomalie qui aurait pu ĂŞtre dĂ©tectĂ©e en amont par un audit de sĂ©curitĂ©.

Aujourd’hui les keyloggers matériels sont de plus en plus faciles à se procurer et on les trouve en vente libre sur Amazon par exemple. En contrepartie, les systèmes de détection d’intrusion dans les SI sont de plus en plus répandus et bon marché. De plus, la sécurité physique a fait des progrès dans les entreprises. Il n’en reste pas moins que si les pentests redteam complets comportent des intrusions physiques c’est parce que c’est un moyen d’accès comme un autre aux secrets de l’entreprise et qu'il reste parfois négligé.