Un keylogger ou enregistreur de frappe est un logiciel espion qui va enregistrer les saisies au clavier des utilisateurs. Toutes ces informations recueillies vont être envoyées à un hacker. Grace au keylogger le hacker va pouvoir récupérer de nombres informations (mots de passe, codes d’accès, numéros de carte bancaire, etc…).

Il y a 2 types de keylogger qui ont la même  fonction mais qui s’utilisent différemment  :

LES KEYLOGGERS LOGICIELS qui servent à exploiter les fonctionnalités du système d’exploitation. Ils enregistrent les captures d’écran les mouvements de souris et les conversations en ligne de la victime. Ils peuvent aussi enregistrer les saisies au clavier.

LES KEYLOGGERS MATERIELS plus rares, qui enregistrent la saisie au clavier. Leur installation nécessite d’être physiquement proche de la machine contrairement au keylogger logiciel qui peut être déployé à distance après une instrusion.

Le Serial Killogger le plus connu:

En 2017, Ankur Agarwal alors PDG et cofondateur de Clarion Technologies a récolté des informations liés aux mots de passe et les noms des d’utilisateurs des salariés de deux entreprises situées dans le New Jersey pendant près d’un an avant d’être pris la main dans le sac en 2018 lors d'un audit de sécurité. Dans la première entreprise il est rentré physiquement dans les locaux pour installer plusieurs keyloggers sur des postes de travail. En parallèle, il a aussi installé un keylogger logiciel sur le réseau. Son but état de récupérer des documents confidentiels concernant des technologies émergentes.

Pour pirater la seconde entreprise, il s’est fait faire un badge d’accès après avoir récupéré les identifiants d’un employé. Cela lui à permis d’entrer sans difficulté dans l’entreprise et d’y installer des keylogger sur les ordinateurs à disposition pour récupérer des documents en lien avec des technologies en cours de développement.

On pense qu’Ankur Agarwal a volé et utilisé ces nouvelles technologies pour son activité. Démasqué en 2018 lors d’un audit de sécurité, il a écopé de 12 ans de prison et de 25 000 Dollars d’amende.

Que faut-il en conclure ?

Le piratage de ces 2 entreprises est riche d’enseignements. Dans le cas de la première entreprise, lnkur Agarwal a pu s’introduire sans être détecté. La sécurité physique de l’entreprise a donc une incidence directe sur la sécurité du SI.  C’est pour cette raison qu’elle est abordée lors d’un audit de sécurité et ou dans le cadre de la rédaction d’une PSSI.

Dans le second cas, il s’agit d’une vulnérabilité ou plutôt d’un manquement au niveau du système de contrôle d’accès à l’entreprise.  En effet, il apparait qu’un même collaborateur pouvait avoir 2 badges actifs au même moment, sans que cela remonte une alerte. La encore, il s’agit d’une anomalie qui aurait pu être détectée en amont par un audit de sécurité.

Aujourd’hui les keyloggers matériels sont de plus en plus faciles à se procurer et on les trouve en vente libre sur Amazon par exemple. En contrepartie, les systèmes de détection d’intrusion dans les SI sont de plus en plus répandus et bon marché. De plus, la sécurité physique a fait des progrès dans les entreprises. Il n’en reste pas moins que si les pentests redteam complets comportent des intrusions physiques c’est parce que c’est un moyen d’accès comme un autre aux secrets de l’entreprise et qu'il reste parfois négligé.