Glossary
Qu’est-ce qu’un keylogger ou enregistreur de frappe ?

Qu’est-ce qu’un keylogger ou enregistreur de frappe ?

E-book sur les compromissions de données d'origine interne Demander une évaluation gratuite

Sommaire

Qu’est-ce qu’un keylogger ? Définition

Les keyloggers, ou enregistreurs de frappe en français, sont des programmes qui s’exécutent en arrière-plan d’un ordinateur ou d’un autre appareil et recueillent les frappes de l’utilisateur sur son clavier.

Ils peuvent être malveillants ou utilisés avec de bonnes intentions, selon les objectifs de la personne qui les installe.

Les keyloggers sont notoirement connus pour leur intention malveillante de collecter les informations d’identification et autres informations importantes d’un utilisateur ciblé, mais ils peuvent également être utilisés pour le contrôle parental et la sécurité des enfants.

 

La formation à la cybersécurité commence ici

Démarrer l'évaluation gratuite

Votre évaluation gratuite fonctionne comme suit :

  • Prenez rendez-vous avec nos experts en cybersécurité afin qu'ils évaluent votre environnement et déterminent votre exposition aux menaces.
  • Sous 24 heures et avec une configuration minimale, nous déployons nos solutions pour une durée de 30 jours.
  • Découvrez nos technologies en action !
  • Recevez un rapport mettant en évidence les vulnérabilités de votre dispositif de sécurité afin que vous puissiez prendre des mesures immédiates pour contrer les attaques de cybersécurité.

Remplissez ce formulaire pour demander un entretien avec nos experts en cybersécurité.

Un représentant de Proofpoint vous contactera sous peu.

Comment fonctionnent les keyloggers ?

L’objectif principal d’un keylogger ou enregistreur de frappe est d’intercepter des données sensibles, comme des mots de passe, des informations bancaires ou des identifiants de connexion, et de les transmettre à un attaquant.

Voici comment les attaquants s’y prennent pour atteindre leurs objectifs à l’aide de keyloggers.

Modes d’installation des keyloggers

Les attaquants utilisent diverses méthodes sophistiquées pour installer un keylogger sur un appareil, sans éveiller les soupçons de la victime :

  • Phishing : Les utilisateurs sont incités à ouvrir un e-mail frauduleux contenant des liens ou des pièces jointes malveillantes. Une fois cliqués, ces éléments installent discrètement le keylogger sur le système.
  • Installations “drive-by” : En visitant un site Web compromis, l’utilisateur peut déclencher le téléchargement automatique du keylogger sans même s’en rendre compte. Ces attaques ciblent souvent des failles dans le navigateur de l’utilisateur.
  • Exploitation des navigateurs vulnérables : Les attaquants tirent parti des failles de sécurité dans les navigateurs pour injecter des scripts malveillants capables d’installer des keyloggers.
  • Installateurs modifiés : Les keyloggers sont parfois ajoutés à des installateurs de logiciels apparemment légitimes. Par exemple, un utilisateur peut télécharger une application populaire depuis un site non officiel, sans savoir qu’elle contient un keylogger dissimulé.

Ces méthodes permettent aux attaquants de cibler une large gamme de victimes tout en restant difficiles à détecter.

Fonctionnement furtif des keyloggers

L’une des caractéristiques les plus redoutables des keyloggers est leur capacité à opérer en toute discrétion.

  • Exécution en arrière-plan : Un keylogger furtif fonctionne en arrière-plan du système, sans affecter les performances de l’appareil. Cela permet de capturer les frappes sans éveiller la méfiance de l’utilisateur.
  • Absence de signaux visibles : Contrairement à certains malwares qui provoquent des ralentissements ou affichent des fenêtres contextuelles, un keylogger bien conçu ne laisse aucun indice évident de son activité. Par exemple, il peut s’intégrer à une installation Windows et commencer à enregistrer les frappes dès le démarrage, sans nécessiter d’action de la part de l’utilisateur.
  • Processus difficiles à identifier : Les keyloggers camouflent souvent leurs processus en les nommant de manière similaire aux fichiers légitimes du système d’exploitation. Cela rend leur détection complexe, même pour des utilisateurs avertis ou des outils de surveillance de base.

Collecte et transfert des données après l’exécution d’un keylogger

Une fois installé, un keylogger capture systématiquement les frappes de clavier et organise ces données pour les rendre exploitables par l’attaquant.

  • Organisation des frappes : Les frappes ne sont pas simplement enregistrées dans un fichier brut. Les keyloggers modernes classent les frappes selon leur contexte, permettant aux hackers d’identifier rapidement les informations sensibles, comme les mots de passe liés à des sites spécifiques ou à des applications. Par exemple, un utilisateur qui tape l’URL de sa banque suivi de ses identifiants de connexion verra ces données regroupées pour faciliter leur exploitation.
  • Stockage des données : Les keyloggers sauvegardent les frappes sur l’appareil, souvent dans des dossiers cachés, pour éviter leur perte en cas d’interruption de la connexion Internet.
  • Transfert vers un serveur distant : Une fois une connexion Internet disponible, les données collectées sont automatiquement transférées à un serveur contrôlé par l’attaquant. Ce mécanisme garantit que les informations volées atteignent leur destination sans nécessiter l’intervention manuelle du hacker.

Keyloggers combinés à des chevaux de Troie

Certains keyloggers avancés sont intégrés à des chevaux de Troie, offrant des fonctionnalités encore plus puissantes.

  • Contrôle à distance : Les chevaux de Troie équipés de keyloggers permettent aux attaquants de prendre le contrôle total de l’appareil infecté. Ils peuvent accéder directement aux fichiers, surveiller les activités de l’utilisateur en temps réel et exfiltrer les données sans utiliser de transfert automatique.
  • Accès aux fichiers journaux : Les fichiers de frappes enregistrées sont directement accessibles à distance. Contrairement aux keyloggers classiques qui nécessitent un transfert des données, un hacker utilisant un cheval de Troie peut parcourir et exploiter les données directement depuis le système infecté.

Qu’en est-il du fonctionnement des enregistreurs de frappe de contrôle parental ?

Les keyloggers sont souvent utilisés pour la surveillance parentale de l’appareil d’un mineur. Par exemple, si un mineur utilise des programmes de chat pour parler à ses amis en ligne, les parents peuvent vouloir surveiller les conversations.

Le keylogger fonctionne de la même manière qu’un keylogger malveillant, mais son utilisation vise à protéger un enfant plutôt qu’à des fins malveillantes.

Autres utilisations populaires du keylogger

Voici quelques autres fonctionnalités standard d’un keylogger :

  • Envoyer régulièrement des emails à un attaquant avec les dernières frappes au clavier. Cette méthode d’envoi de frappes à un attaquant est plus facilement détectée lorsque le compte de messagerie de l’utilisateur ciblé est utilisé, laissant une trace dans la boîte “Envoyé” pointant vers l’adresse électronique de l’attaquant.
  • Transmission sans fil des données volées à l’aide de la technologie Wi-Fi ou du plan de données de l’appareil, s’il est disponible.
  • Dans certains cas, les enregistreurs de frappe incluent des applications malveillantes qui permettent de contrôler à distance les appareils locaux.
  • Copie du contenu du presse-papiers pour détecter les mots de passe stockés lorsque les utilisateurs copient et collent un mot de passe dans une fenêtre. Par exemple, le vol du contenu du presse-papiers pourrait permettre à un attaquant d’accéder aux clés associées au portefeuille de cryptomonnaies d’un utilisateur.
  • Captures d’écran des fenêtres du bureau. Avec cette fonctionnalité, un attaquant peut capturer des informations lorsque l’utilisateur a configuré le remplissage automatique sur son navigateur. Par exemple, un utilisateur peut avoir un cookie stocké qui se souvient du nom de compte pour un site Web financier. L’utilisateur tape le mot de passe sur le site Web, mais seul le mot de passe et non le nom d’utilisateur est capturé. Avec les captures d’écran, l’attaquant a le nom d’utilisateur rempli automatiquement dans l’image, et le mot de passe est ensuite enregistré sous forme de clé.
  • Suivi de l’activité pour capturer les clics de souris de l’utilisateur et les actions du dispositif. En suivant les clics de souris, l’attaquant peut déterminer les fichiers et les dossiers couramment ouverts. Cela pourrait donner à un attaquant distant la possibilité de déterminer les fichiers importants qui contiennent des informations sensibles.

Comment détecter un keylogger sur un ordinateur ?

Les auteurs de malwares intègrent des fonctions de furtivité dans leurs programmes pour éviter la détection, mais les utilisateurs disposent de plusieurs ressources pour les aider à détecter un keylogger installé.

Les bonnes applications anti-malware et anti-keylogger détectent les keyloggers et les empêchent de s’installer. Pourtant, les auteurs de logiciels malveillants modifient continuellement la charge utile et les stratégies codées dans leurs logiciels pour éviter la détection des défenses des appareils.

Il est encore difficile pour les logiciels anti-malware de détecter les menaces de type “zero-day”, ce qui signifie que le malware n’a pas encore été vu dans la nature.

Si vous soupçonnez l’existence d’un enregistreur de frappe sur votre ordinateur, la première étape consiste à examiner la liste des processus en cours d’exécution sur la machine. Sur les ordinateurs Windows, ces processus sont affichés dans le Gestionnaire des tâches.

 

Exemple de keylogger dans le gestionnaire de tâches de Windows

 

Dans la capture d’écran ci-dessus, 94 processus d’arrière-plan sont en cours d’exécution. Un enregistreur de frappe apparaîtrait dans cette liste, mais comme vous pouvez le constater, il serait difficile d’identifier un programme légitime d’un logiciel malveillant.

Pour qu’un keylogger s’exécute après un redémarrage, le service doit être configuré dans Windows pour se charger automatiquement. Cliquez sur l’onglet “Démarrage” du Gestionnaire des tâches pour afficher la liste des exécutables qui s’exécutent après un redémarrage.

 

Écran du gestionnaire des taches de Windows affichant les applications s’exécutant au démarrage

 

Parcourez la liste des exécutables de démarrage pour identifier si le Gestionnaire des tâches affiche des programmes suspects.

Vous pouvez désactiver un programme de démarrage à partir de cet onglet, mais cela ne supprime pas entièrement le logiciel malveillant de votre ordinateur. L’exécutable existe toujours, et les développeurs de logiciels malveillants codent pour savoir quand l’application est désactivée et la relancer.

La meilleure façon de détecter les keyloggers est d’exécuter des applications anti-malware conçues pour mettre en quarantaine et supprimer les logiciels malveillants. Il est préférable que le programme anti-malware détecte le code malveillant avant qu’il ne se charge dans la mémoire, mais les faux négatifs sont possibles si le malware peut éviter la détection.

Évitez les faux négatifs en mettant régulièrement à jour votre logiciel anti-malware. Un logiciel anti-malware mis à jour détectera les dernières attaques, y compris les enregistreurs de frappe. N’installez pas de logiciels qui ne sont pas distribués par le fournisseur officiel et n’exécutez jamais de fichiers exécutables joints à des messages électroniques.

Si votre système d’exploitation comprend un pare-feu, les connexions sortantes peuvent être bloquées, mais ne comptez jamais sur les pare-feu d’application pour bloquer complètement les enregistreurs de frappe ou tout autre logiciel malveillant.

Comment supprimer un keylogger ?

La suppression d’un keylogger nécessite une approche méthodique, car certains malwares sophistiqués peuvent rester cachés ou persister même après une tentative de suppression.

Voici les étapes à suivre pour éliminer un keylogger de manière efficace :

Étape 1 : Déconnectez l’appareil d’Internet

La première chose à faire est de déconnecter l’appareil infecté d’Internet.

Cela empêche l’attaquant de conserver un contrôle à distance sur votre appareil et bloque également le keylogger, l’empêchant de transmettre les données volées à un serveur ou à un espace cloud.

Étape 2 : Transférez un logiciel anti-malware

Pour scanner et supprimer le keylogger, vous aurez besoin d’une application anti-malware fiable.

Si elle n’est pas déjà installée, téléchargez-la depuis un autre appareil non infecté, puis transférez les fichiers d’installation sur l’ordinateur infecté via une clé USB ou un autre périphérique.

Vous pouvez également utiliser un smartphone pour télécharger les fichiers, puis les transférer sur l’appareil via un câble USB.

Vérifiez que le périphérique de transfert ne contient pas d’autres fichiers malveillants qui pourraient infecter l’ordinateur.

Étape 3 : Lancez une analyse complète du système

Une fois le logiciel anti-malware installé, démarrez une analyse complète de votre appareil.

Configurez l’application pour qu’elle supprime automatiquement les fichiers malveillants ou place les fichiers suspects en quarantaine pour les examiner avant de les supprimer.

Étape 4 : Supprimez les fichiers en quarantaine

Si vous optez pour la quarantaine :

  • Les fichiers exécutables malveillants sont déplacés vers un répertoire sécurisé.
  • Examinez ces fichiers pour confirmer qu’ils ne sont pas nécessaires au bon fonctionnement de votre système.
  • Supprimez définitivement les fichiers identifiés comme des menaces.

Étape 5 : Vérifiez la mémoire système

Un keylogger peut parfois rester actif dans la mémoire même après suppression de ses fichiers.

  • Assurez-vous que le logiciel anti-malware supprime également toutes les instances du keylogger présentes en mémoire.
  • Redémarrez l’appareil et effectuez une nouvelle analyse pour vérifier que le système est totalement nettoyé.

Étape 6 : Renforcez la sécurité de votre appareil

Après la suppression du keylogger, prenez des mesures préventives pour éviter une nouvelle infection :

  • Maintenez à jour vos logiciels et votre système d’exploitation.
  • Installez un pare-feu et un antivirus de qualité.
  • Apprenez à détecter les signes d’un phishing ou d’un fichier suspect.

En suivant ces étapes, vous pouvez supprimer efficacement un keylogger et protéger vos données sensibles contre de futures attaques.

Comment se protéger des keyloggers ?

Voici quelques meilleures pratiques pour vous protéger des keyloggers, et ne pas avoir à les détecter ou à les supprimer.

1. Utilisez des outils de sécurité performants

Un antivirus professionnel et un pare-feu de qualité sont indispensables pour détecter et bloquer les keyloggers.

2. Mettez à jour vos logiciels et systèmes

Les keyloggers exploitent souvent des failles dans les logiciels ou les systèmes d’exploitation pour s’installer sur vos appareils. Maintenir vos logiciels à jour réduit ces vulnérabilités en appliquant régulièrement les correctifs de sécurité.

3. Soyez vigilant face aux emails de phishing

Le phishing est une méthode courante pour diffuser des keyloggers. Voici quelques réflexes à adopter :

  • Ne cliquez jamais sur des liens ou des pièces jointes provenant d’un expéditeur inconnu.
  • Effacez les e-mails suspects dès leur réception.
  • Formez-vous à reconnaître les signes d’un phishing, comme les erreurs grammaticales ou les demandes urgentes d’informations sensibles.

4. Évitez les logiciels douteux

N’installez jamais d’applications dont la provenance ou la fiabilité est incertaine. Privilégiez toujours les plateformes officielles pour télécharger vos logiciels.

5. Contournez les frappes au clavier

Les keyloggers dépendent de vos frappes pour voler vos informations. Certaines astuces permettent de les contourner efficacement :

  • Gestionnaires de mots de passe : Ces outils génèrent des mots de passe complexes et remplissent automatiquement les champs d’identification, évitant ainsi de taper sur le clavier.
  • Claviers virtuels : Sur Windows, vous pouvez activer le clavier virtuel (touche Windows + R) pour saisir vos identifiants sans utiliser votre clavier physique. Cela empêche les keyloggers matériels et logiciels d’enregistrer vos frappes.
  • Authentification multifactorielle (MFA) : Même si un keylogger vole votre mot de passe, il sera inutile sans la deuxième phase d’authentification, comme un code envoyé par SMS.

6. Prenez des précautions sur les ordinateurs publics

Évitez d’accéder à vos comptes privés ou bancaires depuis des terminaux publics. Si vous devez les utiliser, effacez toutes les traces de votre passage (historique, cookies, etc.).

7. Formez-vous aux principes de cybersécurité

La meilleure protection reste la connaissance. Investissez du temps pour comprendre les bases de la cybersécurité, les menaces courantes et les bonnes pratiques. Cela vous permettra d’anticiper les risques et de réagir rapidement en cas de problème.

En suivant ces conseils, vous renforcerez considérablement la sécurité de vos appareils et réduirez les risques liés aux keyloggers. La vigilance et l’utilisation d’outils adaptés sont vos meilleures armes contre ces menaces invisibles.

Ressources

Analyst Report

A CISO's Guide to Phishing and Malware

Infographic

Les menaces internes constituent le principal risque de cybersécurité pour les entreprises

Data Sheet

Proofpoint Enterprise Data Loss Prevention

E-book

Des menaces dissimulées dans les canaux ouverts

See more resources

Prêt à essayer Proofpoint ?

Commencez par un essai gratuit de Proofpoint.

Se Protéger
Previous Glossary
Next Glossary