Anti Keylogger

Comment lutter et se défendre contre les espionnages à base de keyloggers

   
En savoir plus :  Retourner à la page précédente   Imprimer cette page   

FAQ Microsoft Windows
 
 
En 2 mots
Appliquez tous les correctifs connus aux failles de sécurité avec Microsoft MBSA (ou Microsoft HFNetChk Pro pour l'entreprise)
Appliquez les mises à jour de tous les logiciels installés (pas de manière automatique - en vous tenant informé 1 fois par mois).
Installez et exécutez Le bon Anti-trojans
Installez et exécutez Le bon Pare-feu (firewall)
Installez et exécutez Le bon Antivirus
Fermez les ports critiques et désactivez les services critiques avec Zeb-Protect.
Changez tous vos mots de passe

Pour aller plus loin
En plus de ce qui précède, naviguez avec Firefox en remplacement de l'infâme Internet Explorer (le générateur de failles en flux continu par qui tout le mal (ou presque), sur l'Internet, arrive).
Interdisez à Internet Explorer et à l'Explorateur de Windows tout accès à l'Internet (règle dans votre pare-feu (firewall)
Installez et exécutez SpywareStopper
Installez et exécutez SpywareBlaster
Installez et exécutez SpyBlocker
Installez une liste noire de blocage avec Hosts
Désactivez WSH « Windows Scripting Host » avec NoScript
Désactiver complètement ActiveX
Utilisez un système pro-actif contre les failles non encore corrigées : Qwick-Fix
Portez plainte

Pour comprendre
Qu'est-ce qu'un KeyLogger ?

Les KeyLogger illégitimes sont, généralement, la "charge utile" introduite dans un système par un Cheval de Troie et lachée par un autre composant : le Dropper. On se trouve donc devant, probablement, 3 parasites ou, tout au moins, 2 parasites et un programme crapuleux que vous avez téléchargé ou un virus.

L'autre méthode pour insérer un KeyLogger est l'exploitation d'une faille de sécurité.

On utilisera donc un anti-trojans capable de découvrir le Cheval de Troie utilisé, le Dropper et le KeyLogger lui-même et un anti-virus. D'autre part, on mettra en oeuvre le schéma habituel car il y a lieu à interrogations et à la prise de décisions. Le KeyLogger n'est pas venu tout seul sur votre machine. La contre-mesure ne consiste pas à simplement télécharger et exécuter un Très bon Anti-trojans.

Agir dans 3 directions différentes simultanément
La présence, sur une machine, de parasites ou d'outils apparemment anodins, mais inattendus, ne doit pas être prise à la légère (y compris la présence de simples documents - pas des programmes - tels des textes de cours de crack ou de hack ou de carding (anarchie, carding, cracking, etc. ...)). La réaction ne doit pas se limiter au simple effacement.

Face à cette présence, nous devons engager des actions dans 3 directions différentes simultanément sinon nous risquons le virus PEBCAK. Il faut :
  1. Corriger les effets
    La première chose à faire est, bien entendu, de corriger immédiatement les effets de la contamination et supprimant la contamination elle-même mais cela ne suffit pas. Il faut encore :
  2. Rechercher les causes en amont
    Chercher, en amont, les causes de sa présence
  3. Prévoir les conséquences en aval
    Chercher, en aval, les conséquences éventuelles de son action à l'encontre de notre machine, nos données, notre réseau, notre entreprise et nous même

Opérations à engager :
L'administrateur réseau ou l'ingénieur en charge de la sécurité devra :
  1. Eradiquer le parasite :
    Bien entendu, il convient d'éliminer le parasite.
    Il y a deux possibilités :

    1. Télécharger, installer et exécuter un antivirus puis un anti-spywares (anti-trojans) localement (sur la machine). Il en est des gratuits pour commencer. Par exemple (sans faire de polémique sur "celui-ci est meilleur que celui-là" etc. ...) on utilisera :
    2. Exécuter des analyses en ligne de la machine avec deux ou trois outils bien solides.
  2. Rechercher, en amont, la faille ayant permis l'introduction de ce parasite :
    La présence de ce parasite signifie qu'une faille de sécurité a permis son introduction.
    • Ce peut être une introduction à distance grâce à l'exploitation d'une faille corrigible par application de patchs disponibles chez les éditeurs de tous les logiciels installés sur la machine. La mesure de base étant d'être à jour, quotidiennement, de tous les correctifs de sécurité, on commencera par regarder à Microsoft HotFix, Microsoft MBSA et Microsoft Service Packs. On en fera de même pour les autres éditeurs utilisés.
    • Ce peut surtout être une introduction locale du parasite car la faille est, dans la majorité des cas, beaucoup plus proche qu'on ne le pense : on aura donc également un oeil suspicieux sur toutes les personnes pouvant accéder physiquement à cette machine (employé, ami, service technique interne, maintenance technique externe, personnel d'entretien, etc. ...).
    • La mise en place d'un keylogger peut être envisagée pour dépister l'attaquant et peut être recherchée comme cause de l'attaque, ces outils ayant 2 usages diamétralement opposés. On regardera également si la surveillance des contrôles ActiveX n'est pas trop laxiste.

  3. Rechercher, en aval, les conséquences possibles et prendre les mesures nécessaires :
    En fonction de la nature du parasite (de sa classe), nous prendrons les mesures nécessaires. Par exemple, si le parasite vise les mots de passe, il faut immédiatement imaginer qu'ils sont tous compromis. Nous sommes donc en présence d'une nouvelle faille de sécurité, conséquence de la mise en oeuvre probable du parasite contre la machine infectée et le réseau auquel elle appartient. Il convient donc de tous les changer.

Opérations connexes :
  1. Essayer de remonter à la source : en vertu du vieil adage policier "chercher à qui le crime profite", chercher en remontant dans les logs, une identification éventuelle de l'utilisateur (poste de travail, login, adresse IP etc. ...) et les données qui ont pu être révélées. Se prémunir juridiquement en portant plainte immédiatement.

  2. Rechercher la présence d'autres parasites.

  3. Si le parasite concerne le crack de licences internes de logiciels, on pourra, éventuellement, se prémunir juridiquement, en prévenant les éditeurs et, d'autre part, porter plainte, à titre conservatoire.

  4. Si le parasite concerne le crack (password cracking) ou le vol (password stealing) de mots de passe ou autres données cryptées on recherchera aussi la possibilité de fuite de la clé de cryptage elle-même, depuis le mot de passe écrit sur un post-it collé sur l'écran jusqu'au personnel licencié assouvissant une vengeance... (dans ce dernier cas, les mots de passe auraient dû être changés dès l'envoi de la convocation à l'entretien préalable au licenciement puis changés à nouveau dans la minute qui suit l'entretien préalable et une nouvelle fois au moment du dernier départ physique de la personne licenciée, à l'issue du préavis. Entre-temps, tous ses accès auraient dû être supprimés ou extrêmement restreints).

  5. En entreprise, on retirera tous les outils matériels susceptibles de permettre une copie. Ils seront disposés en service d'accès contrôlé, sur des machines disposées dans une pièce distincte accessible sur justification et autorisation. Tous les périphériques amovibles sont concernés, y compris les disques durs montés en tiroirs, lecteurs de disquettes, de bandes, graveurs et même les memory sticks (ports usb...), clés usb etc. ... On sera particulièrement méfiant à l'égard des dispositifs USB conformes U3 (dont les menaces de type PodSlurping).

  6. Le mot de passe du BIOS sera extrêmement durci sur une carte-mère rendue inaccessible par l'usage de boîtiers verrouillés et disposants d'un contact d'ouverture déclenchant une alerte réseau grâce à une petite tâche active en permanence (la machine ne devant jamais être éteinte). Les accès aux disquettes et aux lecteurs de CD-ROM, DVD etc. ... seront inhibés au niveau du BIOS si les périphériques ne sont pas ôtés physiquement de la machine.

  7. En entreprise, on retirera ou restreindra tous les outils logiciels susceptibles de permettre une copie dont le protocole FTP et les clients et serveurs P2P, les accès aux machines et répertoires du réseau...

  8. L'introduction du parasite sur la machine infectée ayant pu se faire à distance cela peut signifier, selon la nature du parasite, qu'un individu l'y a introduit non pas pour l'exploiter mais pour la cacher. C'est une mesure de sécurité élémentaire chez ceux qui manipulent des documents ou utilitaires très critiquables : ils ne les planquent pas chez eux mais chez les autres. Donc, pour revenir les chercher ou les utiliser, l'individu a probablement ménagé une porte : on recherchera du côté des RATs et des backdoor.


Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com

Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com






Historique des révisions de ce document :

29.10.2006 Up V4
 
   
Rédigé en écoutant :
Music