Enregistreurs de frappe :
fonctionnement et identification

février 2, 2023

Enregistreurs de frappe

Les enregistreurs de frappe sont des outils qui enregistrent ce qu’une personne tape sur un terminal. Si certaines utilisations des enregistreurs de frappe sont parfaitement légitimes et légales, de nombreuses utilisations de ces outils sont malveillantes. Lors d’une attaque par enregistreur de frappe, le logiciel enregistre l’activité de la victime sur le clavier de son terminal et envoie les enregistrements au cyberattaquant.

L’une des attaques par enregistreur de frappe les plus connues a recours à un type de logiciel malveillant appelé DarkHotel. Les cyberpirates ciblent les réseaux Wi-Fi non sécurisés des hôtels et invitent les utilisateurs à télécharger le logiciel. Une fois téléchargé, DarkHotel agit comme un enregistreur de frappe et transmet l’activité des utilisateurs aux cyberpirates. Après avoir enregistré un certain nombre de frappes, DarkHotel se désinstalle du terminal. Il évite ainsi de rester trop longtemps sur un terminal et d’être détecté.

Il est essentiel de se protéger des attaques par enregistreur de frappe utilisées par des utilisateurs malveillants. En effet, comme les enregistreurs de frappe peuvent enregistrer et identifier rapidement les informations sensibles, ils constituent une menace importante pour la cybersécurité. Pour vous protéger, vous devez savoir ce que sont les enregistreurs de frappe, comment prévenir une attaque et comment supprimer un enregistreur de frappe si vous subissez une attaque.

Vos informations personnelles représentent une source de revenus lucrative pour les cybercriminels, et ces derniers utilisent toute une série de stratégies pour tenter d’accéder à vos données sensibles. Les spywares sont un type de risque de cybersécurité où un utilisateur malveillant tente de recueillir des informations sur un utilisateur pour lui nuire. Les cybercriminels utilisent souvent les enregistreurs de frappe en tant que logiciels espions (spywares) pour suivre les actions des utilisateurs à leur insu.

Définition de l’enregistreur de frappe

Les enregistreurs de frappe sont des outils capables d’enregistrer chaque frappe sur le clavier d’un ordinateur ou d’un terminal mobile. Comme la plupart des interactions avec le terminal passent par le clavier, les enregistreurs de frappe peuvent enregistrer de nombreuses informations sur vos activités. Ils peuvent par exemple suivre les informations de carte de crédit que vous saisissez, les sites web que vous visitez et les mots de passe que vous utilisez.

Les enregistreurs de frappe ne sont pas toujours utilisés à des fins illégales. Voici quelques exemples d’utilisations légales d’un enregistreur de frappe :

  • Les parents peuvent utiliser un enregistreur de frappe pour surveiller le temps d’écran de leur enfant.
  • Les entreprises utilisent souvent un enregistreur de frappe parmi d’autres logiciels de surveillance des collaborateurs afin de suivre la productivité des collaborateurs.
  • Les départements informatiques peuvent utiliser un enregistreur de frappe pour identifier et résoudre les problèmes d’un terminal.

Cela dit, bien que les enregistreurs de frappe aient un usage légal, les utilisateurs malveillants s’en servent généralement pour surveiller votre activité et commettre des cybercrimes.

GLOBAL THREAT REPORT 2022 DE CROWDSTRIKE

Téléchargez le Global Threat Report 2022 pour découvrir comment les équipes de sécurité peuvent mieux protéger les personnes, les processus et les technologies d’une entreprise moderne dans un paysage des menaces toujours plus sombre.

See Demo

Informations collectées par les enregistreurs de frappe

Lorsqu’un enregistreur de frappe est en service, il suit chaque frappe saisie et enregistre les données dans un fichier. Le cyberpirate peut accéder à ce fichier ultérieurement, ou le logiciel peut envoyer automatiquement le fichier par e-mail au cyberpirate. Certains enregistreurs de frappe, appelés enregistreurs d’écran, peuvent également capturer votre écran complet à intervalles aléatoires.

Les enregistreurs de frappe peuvent reconnaître des modèles dans les frappes afin de faciliter l’identification d’informations sensibles. Si un cyberpirate cherche à obtenir des mots de passe, il peut programmer l’enregistreur de frappe pour qu’il surveille une frappe particulière, par exemple l’arobase (@). Ensuite, le logiciel ne l’avertit que lorsqu’il suppose que vous saisissez un mot de passe et un nom d’utilisateur de messagerie lors de la saisie d’identifiants de connexion. Cette technique permet aux utilisateurs malveillants d’identifier rapidement les informations sensibles sans avoir à passer toutes vos données de frappe au crible.

Danger des enregistreurs de frappe

Contrairement à d’autres formes de logiciels malveillants, les enregistreurs de frappe n’endommagent pas votre ordinateur ou votre système d’exploitation. Le principal danger des enregistreurs de frappe réside dans le fait que des utilisateurs malveillants peuvent identifier et exploiter vos informations personnelles. Les exemples suivants illustrent certains des risques d’une attaque par enregistreur de frappe :

  • Les cyberpirates peuvent voler des informations de carte de crédit et effectuer des achats non autorisés.
  • Des utilisateurs malveillants peuvent se connecter à vos comptes de messagerie et voler des informations ou escroquer vos contacts.
  • Les cyberpirates peuvent se connecter à vos comptes bancaires et effectuer des transferts d’argent.
  • Des utilisateurs malveillants peuvent accéder au réseau de votre entreprise et voler des informations confidentielles.

Selon le FBI, la grande majorité des menaces pour la sécurité nationale et des problèmes de criminalité auxquels il est confronté comportent une composante cyber. Il met notamment en garde contre un type d’attaque très courant dans un grand nombre de secteurs : le piratage de la messagerie en entreprise, aussi appelé attaque BEC. Dans ce type d’attaque, les cybercriminels envoient un e-mail qui semble provenir d’un contact connu.  Ils ont ensuite recours à l’ingénierie sociale et aux intrusions réseau pour infiltrer les entreprises.

Par exemple, un cybercriminel envoie un message semblant provenir d’un fournisseur connu. Le message peut inclure une facture sur laquelle l’adresse postale a été modifiée. Si vous ne reconnaissez pas la fraude, vous pourriez envoyer les paiements à un mauvais destinataire. Les cybercriminels qui ont accès à vos comptes via une attaque par enregistreur de frappe peuvent avoir un taux de réussite plus élevé, car ils sont mieux en mesure d’imiter les messages fournisseurs.

C’est pourquoi les cybercriminels utilisent souvent des enregistreurs de frappe pour identifier leurs cibles. En utilisant un enregistreur de frappe, ils peuvent en savoir plus sur leur victime et ainsi mieux aiguiller une attaque sophistiquée. Les stratégies d’ingénierie sociale sont plus efficaces lorsque les cybercriminels utilisent des informations personnelles et professionnelles pour gagner la confiance de la victime.

Types d’enregistreurs de frappe et leur fonctionnement

Il existe deux types d’enregistreurs de frappe : les enregistreurs de frappe matériels et les enregistreurs de frappe logiciels. Ces deux types se distinguent par la façon dont ils enregistrent la frappe. Les deux types d’enregistreurs de frappe peuvent être utilisés à des fins malveillantes, notamment pour le vol d’identifiants et l’usurpation d’identité.

Types d’enregistreurs de frappe

Les enregistreurs de frappe matériels sont des dispositifs physiques qui enregistrent chaque frappe. Les cybercriminels peuvent les dissimuler dans le câblage de l’ordinateur ou dans un adaptateur USB, ce qui les rend difficiles à détecter pour la victime. Cependant, comme l’installation d’un enregistreur de frappe matériel nécessite un accès physique au terminal, ce type d’enregistreur de frappe n’est pas couramment utilisé dans les cyberattaques.

Les enregistreurs de frappe logiciels ne nécessitent pas d’accès physique au terminal. Au contraire, ils sont téléchargés sur le terminal par les utilisateurs. Les enregistreurs de frappe logiciels peuvent être téléchargés intentionnellement ou par inadvertance avec un logiciel malveillant.

Il existe de nombreux types d’enregistreurs de frappe logiciels, notamment :

  • Les enregistreurs de frappe intercepteurs de formulaires enregistrent les données saisies dans un champ. Ce type d’enregistreur de frappe logiciel est généralement déployé sur un site web plutôt que téléchargé sur l’ordinateur de la victime. Un cyberpirate peut utiliser un enregistreur de frappe intercepteur de formulaires sur un site web malveillant qui invite les victimes à entrer leurs identifiants.
  • Les enregistreurs de frappe JavaScript sont écrits en code JavaScript et injectés dans des sites web. Ce type d’enregistreur de frappe logiciel peut exécuter des scripts permettant d’enregistrer chaque frappe saisie par les visiteurs du site web.
  • Les enregistreurs de frappe sur API utilisent des interfaces de programmation d’application exécutées dans des applications pour enregistrer chaque frappe. Ce type d’enregistreur de frappe logiciel peut enregistrer un événement chaque fois que vous appuyez sur une touche au sein de l’application.

Fonctionnement des enregistreurs de frappe

Les enregistreurs de frappe peuvent se propager de différentes manières, mais ils ont tous le même objectif. Ils enregistrent toutes les informations saisies sur un terminal et les transmettent à un destinataire. Examinons quelques exemples illustrant la façon dont les enregistreurs de frappe se propagent par installation sur les terminaux :

  • Scripts de page web. Les cyberpirates peuvent insérer un code malveillant sur une page web. Lorsque vous cliquez sur un lien infecté ou visitez un site web malveillant, l’enregistreur de frappe se télécharge automatiquement sur votre terminal.
  • Phishing. Les cyberpirates peuvent utiliser des e-mails de phishing, c’est-à-dire des messages frauduleux conçus pour paraître légitimes. Lorsque vous cliquez sur un lien infecté ou ouvrez une pièce jointe malveillante, l’enregistreur de frappe se télécharge sur votre terminal.
  • Ingénierie sociale. Le phishing est un type d’ingénierie sociale, c’est-à-dire une stratégie visant à inciter les victimes à divulguer des informations confidentielles. Les cybercriminels peuvent se faire passer pour un contact de confiance afin de convaincre le destinataire d’ouvrir une pièce jointe et de télécharger un logiciel malveillant.
  • Logiciel non identifié téléchargé sur Internet. Les utilisateurs malveillants peuvent intégrer des enregistreurs de frappe dans les logiciels téléchargés sur Internet. En même temps que le logiciel que vous voulez télécharger, vous téléchargez sans le savoir un enregistreur de frappe.

Enregistreurs de frappe légitimes

Les enregistreurs de frappe ont tendance à être associés à la cybercriminalité, mais il existe des utilisations sûres et légales de ceux-ci. Bien que la législation varie en fonction de l’État ou du pays, les enregistreurs de frappe sont généralement considérés comme légaux si vous êtes propriétaire du terminal. Par exemple, vous pouvez surveiller les ordinateurs de vos employés si vous êtes chef d’entreprise. De même, vous pouvez surveiller votre propre ordinateur même si d’autres personnes l’utilisent. Toutefois, vous ne pouvez pas surveiller l’ordinateur d’un membre de votre famille à son insu.

L’utilisation d’un enregistreur de frappe est également sûre et légale dans le cadre du piratage éthique. Le piratage éthique est une stratégie par laquelle un cyberpirate tente de s’introduire légalement dans des ordinateurs ou des réseaux. Les entreprises peuvent par exemple utiliser cette stratégie pour tester leur cybersécurité.

Protection contre les enregistreurs de frappe

S’ils ont accès à vos informations personnelles, les utilisateurs malveillants peuvent causer des dégâts considérables.

Il est dès lors essentiel de se protéger des enregistreurs de frappe pour ne pas en être victime. La bonne nouvelle, c’est que vous pouvez réduire la probabilité d’une attaque en prenant des précautions et en adoptant des comportements préventifs. Selon le rapport d’enquête 2022 sur les compromissions de données de Verizon, 82 % des compromissions impliquent un facteur humain. En étant conscient des dangers, vous pouvez renforcer votre cybersécurité et mieux vous protéger contre les attaques par enregistreur de frappe.

Comment se protéger des attaques par enregistreur de frappe sur les terminaux personnels

La meilleure protection contre les attaques par enregistreur de frappe consiste à savoir comment les attaques se produisent. Voici quelques précautions que vous pouvez prendre pour éviter d’en être victime :

  • Vérifiez que les e-mails émanent d’une source légitime. Vérifiez les adresses e-mail inhabituelles et interrogez-vous sur la légitimité des demandes. Par exemple, demandez-vous si votre banque vous inviterait à réinitialiser votre mot de passe dans un e-mail. En cas de doute, évitez de cliquer sur les liens contenus dans les e-mails. Vous pouvez toujours effectuer l’action demandée, telle que la réinitialisation de votre mot de passe, directement depuis le portail de votre banque.
  • Vérifiez que les sites web sont légitimes. Les cybercriminels créent souvent de fausses versions convaincantes de sites web populaires. Avant de saisir des informations personnelles, telles que votre numéro de sécurité sociale, vérifiez que le site web dispose d’un certificat numérique validant sa sécurité.
  • Utilisez un mot de passe fort et unique. Il est essentiel d’utiliser des mots de passe uniques de sorte que les cybercriminels n’aient pas accès à tous vos comptes si l’un de vos mots de passe est compromis.

De façon générale, faites preuve de prudence. Avant de cliquer sur des liens ou de télécharger des fichiers, assurez-vous toujours que la source est digne de confiance.

EN SAVOIR PLUS

Découvrez le rôle essentiel de l’enregistrement des frappes dans la stratégie d’infiltration des cybercriminels dans cet article de blog. EN SAVOIR PLUS

Comment se protéger des attaques par enregistreur de frappe sur les terminaux publics

Lorsque vous utilisez des terminaux publics, vous devez vous montrer encore plus prudent. Les terminaux publics peuvent ne pas disposer des dernières mises à jour de sécurité ou d’une protection antivirus. Un utilisateur précédent pourrait également avoir trafiqué le terminal et installé un enregistreur de frappe.

Évitez de saisir des mots de passe et des informations de carte de crédit sur un ordinateur public. Si vous devez saisir des informations sensibles sur un ordinateur public, essayez de limiter les dégâts d’une attaque potentielle. Par exemple, pensez à changer votre mot de passe dès vous pouvez accéder à votre compte depuis un terminal privé. Vous pouvez utiliser une seule et même carte de crédit pour tous vos achats en ligne, et vérifiez régulièrement l’état de vos dépenses pour vous assurer qu’aucune activité anormale n’y figure.

Comment se protéger des enregistreurs de frappe installés à distance

Les cyberpirates ou les gouvernements peuvent installer à distance des enregistreurs de frappe et des logiciels malveillants dissimulés sur les terminaux grâce à des stratégies telles que le téléchargement furtif et les faux logiciels. Les enregistreurs de frappe distants peuvent capturer les frappes au clavier et enregistrer le son à l’aide du microphone du terminal. Pour éviter les enregistreurs de frappe distants, utilisez des stratégies similaires à celles utilisées pour prévenir les attaques par enregistreur de frappe sur vos terminaux personnels.

Détection et suppression des enregistreurs de frappe

Lorsque les cybercriminels utilisent des enregistreurs de frappe, leur objectif est d’être indétectables. Si les victimes ignorent que quelqu’un espionne chaque frappe, elles continuent de saisir des informations personnelles sur leurs terminaux. Cependant, il existe des signaux d’alerte à surveiller pouvant indiquer la présente d’un enregistreur de frappe sur votre terminal.

Signaux d’alerte pouvant suggérer la présence d’un enregistreur de frappe

Il existe trois principaux signaux d’alerte pouvant vous aider à détecter les enregistreurs de frappe :

  • Ralentissement du navigateur
  • Retard dans les mouvements de la souris et les frappes au clavier
  • Disparition du curseur

Si vous rencontrez ces problèmes, vous devez immédiatement rechercher les éventuels enregistreurs de frappe. Pour ce faire, procédez comme suit :

  • Utilisez le Gestionnaire des tâches sur les PC ou le Moniteur d’activité sur les Mac. Le Gestionnaire des tâches et le Moniteur d’activité sont des utilitaires qui affichent les applications et les processus d’arrière-plan en cours d’exécution. Examinez ce qui est en cours d’exécution et mettez fin à toute application ou processus suspect.
  • Inspectez les programmes et les fonctionnalités. Vérifiez les programmes installés sur votre terminal. Si vous ne reconnaissez pas l’un d’entre eux, effectuez une recherche en ligne pour savoir de quoi il s’agit et désinstallez-le si nécessaire.
  • Analysez votre terminal à l’aide d’un logiciel antivirus. Ce type de logiciel recherche en permanence les logiciels malveillants sur vos terminaux et les supprime automatiquement.

Vous pouvez régulièrement examiner manuellement les processus actifs et les programmes installés, mais les cyberpirates font souvent passer les enregistreurs de frappe pour des programmes légitimes. C’est pourquoi les logiciels antivirus constituent le moyen le plus fiable de détecter les enregistreurs de frappe et les autres formes de logiciels malveillants.

Comment éliminer les enregistreurs de frappe

Il est toujours préférable de prévenir l’installation des enregistreurs de frappe avant qu’ils ne s’implantent dans votre terminal. La prévention protège vos données sensibles et limite la propagation d’autres types de logiciels malveillants susceptibles d’endommager vos terminaux.

Toutefois, si vous identifiez un enregistreur de frappe sur votre terminal, vous devez le supprimer immédiatement. Les logiciels antivirus suppriment automatiquement les logiciels malveillants. Si vous n’utilisez pas de logiciel antivirus, effectuez l’une des étapes suivantes pour supprimer manuellement un enregistreur de frappe :

  • Désinstallez le programme de votre terminal.
  • Supprimez les fichiers temporaires.
  • Réinitialisez votre terminal et restaurez-le à partir d’une sauvegarde.

Outils de prévention des enregistreurs de frappe

En plus de vous informer sur les risques de cybersécurité et de prendre des précautions générales, vous devriez envisager d’utiliser les outils suivants pour prévenir l’installation d’enregistreurs de frappe :

  • Utilisez un pare-feu. Un pare-feu est un système de sécurité permettant de surveiller le trafic réseau afin de détecter toute activité suspecte. Les pare-feux peuvent contribuer à contrer les enregistreurs de frappe en interceptant les données qu’un enregistreur de frappe tente d’envoyer par Internet.
  • Utilisez un gestionnaire de mots de passe et mettez fréquemment à jour les mots de passe. Les gestionnaires de mots de passe stockent les mots de passe de tous vos comptes afin que vous ne deviez retenir que le mot de passe principal. Avec un gestionnaire de mots de passe, vous pouvez utiliser des mots de passe plus forts et les mettre à jour fréquemment puisque vous n’avez pas besoin de vous en souvenir.
  • Mettez fréquemment votre système à jour. Les mises à jour du système d’exploitation et des applications empêchent les utilisateurs malveillants d’exploiter les problèmes connus. Veillez à installer les mises à jour dès qu’elles sont disponibles afin d’assurer une protection continue de votre système.
  • Utilisez un logiciel antivirus. Les logiciels antivirus préviennent les logiciels malveillants et peuvent les identifier et les supprimer plus rapidement que vous ne pouvez le faire manuellement.

Se protéger contre les enregistreurs de frappe avec CrowdStrike

La cybercriminalité est une menace qui touche de nombreuses personnes chaque année. Selon un rapport sur la cybersécurité publié par Abnormal Security, le nombre de cyberattaques ne cesse d’augmenter. Au cours du second semestre de 2021, le rapport fait état d’une augmentation de 84 % du nombre d’attaques par piratage de la messagerie en entreprise. Pour les entreprises de plus de 50 000 collaborateurs, le rapport a révélé qu’il y avait chaque semaine 95 % de chances de faire l’objet d’une tentative de piratage de la messagerie en entreprise.

Les particuliers et les entreprises peuvent télécharger des enregistreurs de frappe sur leurs terminaux par inadvertance lors d’une attaque par piratage de la messagerie en entreprise ou d’un autre type de cyberattaque. Plus ces programmes malveillants restent longtemps sur votre système, plus les cybercriminels ont accès à vos comptes et informations personnelles. Il est donc essentiel d’identifier rapidement les enregistreurs de frappe et de les supprimer immédiatement. Vous pouvez limiter les dommages causés par les enregistreurs de frappe en prenant des précautions et en utilisant des outils tels que les logiciels antivirus et les pare-feux.

Cependant, une solution complète de sécurité Internet reste la meilleure défense contre les enregistreurs de frappe. La plateforme CrowdStrike Falcon® peut vous offrir une visibilité sur les attaques potentielles ciblant divers hôtes, infrastructures cloud et applications métier. Pour en savoir plus, cliquez ici.