Clavier virtuel contre keyloggers
Les banques, entre autres, proposent des claviers virtuels contre les keyloggers
|
||||
| |
Les banques, devant la montée des attaques contre leurs clients (keyloggers, phishing, ...), et donc contre elles-même puisque leur responsabilité est engagée, se devaient de réagir. Ce fut CitiBank (première banque mondiale) qui innova en mai 2005 avec un clavier virtuel : pour saisir vos numéros de compte, identifiant, mots de passe, codes secrets etc. ... vous ne le frappez plus au clavier mais sur un clavier virtuel apparaissant à l'écran, en pointant les caractères à la souris. Le clavier change de position à chaque connexion et la disposition des lettres et chiffres change également - c'est exaspérant mais ce serait le prix de la sécurité. Pourquoi ? Parce que, en particulier, les keyloggers se multiplient et ne sont pas toujours détéctés par les anti-spywares. En entreprise, en particulier, ils peuvent être installés par les employeurs pour surveiller les employés. Ce sont souvent des outils commerciaux légitimes. Ce sont des outils spécialisés, bien entendu, dans la furtivité de leurs actions.
Les keyloggers "sniffent" les frappes aux claviers et récupèrenent donc automatiquement les mots de passe et autres données confidentielles sans aucune difficultée.
L'idée du clavier virtuel devait circonvenir tous les keyloggers.
Notons que vous pouvez à tout moment simuler un clavier virtuel même s'il n'existe pas sur le service que vous utilisez : utilisez la table de caractères présente dans les systèmes d'exploitation. Sous Windows XP, faites :
Démarrer > Tous les programmes > Accessoires > Outils système > Table des caractères
Vous obtiendrez, moyennant une petite manipulation, le même résultat qu'un clavier virtuel : sélectionner les caractères désirés à la souris (double clic sur chacun d'eux, par exemple - peu importe la police de caractères choisie) puis copier / coller ce que vous avez sélectionné, qui se trouve dans "Caractères à copier", dans les champs appropriés du service que vous utilisez (votre banque etc. ...).
Est-ce que les claviers virtuels développés et proposés par vos banques sont une bonne idée soumise à un bel avenir ? Et bien non.
Une "preuve de concept" (proof of concept) permettant de violer les claviers virtuels a été présentée dès juin 2005 (soit moins d'un mois après), par Nicolas Grégoire, aux SSTIC'05 (document pdf) et concluait qu'il n'y a pas de solution contre le viol des claviers virtuels. D'ailleurs, un simple keylogger faisant une vidéo de ce qui se passe à l'écran (fonction classique des keyloggers) et l'envoyant par e-mail (ou ftp ou camouflant le fichier pour récupération utltérieure) aux maffieux pilotant l'attaque permet de circonvenir les claviers virtuels.
Les keyloggers "sniffent" les frappes aux claviers et récupèrenent donc automatiquement les mots de passe et autres données confidentielles sans aucune difficultée.
L'idée du clavier virtuel devait circonvenir tous les keyloggers.
Notons que vous pouvez à tout moment simuler un clavier virtuel même s'il n'existe pas sur le service que vous utilisez : utilisez la table de caractères présente dans les systèmes d'exploitation. Sous Windows XP, faites :
Démarrer > Tous les programmes > Accessoires > Outils système > Table des caractères
Vous obtiendrez, moyennant une petite manipulation, le même résultat qu'un clavier virtuel : sélectionner les caractères désirés à la souris (double clic sur chacun d'eux, par exemple - peu importe la police de caractères choisie) puis copier / coller ce que vous avez sélectionné, qui se trouve dans "Caractères à copier", dans les champs appropriés du service que vous utilisez (votre banque etc. ...).
Est-ce que les claviers virtuels développés et proposés par vos banques sont une bonne idée soumise à un bel avenir ? Et bien non.
Une "preuve de concept" (proof of concept) permettant de violer les claviers virtuels a été présentée dès juin 2005 (soit moins d'un mois après), par Nicolas Grégoire, aux SSTIC'05 (document pdf) et concluait qu'il n'y a pas de solution contre le viol des claviers virtuels. D'ailleurs, un simple keylogger faisant une vidéo de ce qui se passe à l'écran (fonction classique des keyloggers) et l'envoyant par e-mail (ou ftp ou camouflant le fichier pour récupération utltérieure) aux maffieux pilotant l'attaque permet de circonvenir les claviers virtuels.
| Historique des révisions de ce document : |
|
Historique
|
Rédigé en écoutant :
Music
Music