Imaginez votre clavier en train de s'adonner à des commérages dans votre dos, dévoilant au monde entier vos secrets les plus intimes, les plus sombres et les plus embarrassants. Jetteriez-vous votre MacBook flambant neuf dans les toilettes les plus proches ?
Même une personne qui n'accorde aucune importance à la confidentialité (le type de personne qui dit après chaque faille de données : « Ce n'est qu'une question de temps avant que le président ne connaisse mon indice de masse corporelle... et vous savez quoi ? Je m'en fiche ! ») doit admettre que l'idée que son clavier transmette silencieusement chacune de ses frappes est troublante.
L'histoire de l'enregistrement de frappe
L'enregistrement de frappe (ou keylogging), l'une des formes les plus anciennes de cyberguerre : cette pratique remonte à la guerre froide. Les espions russes implantaient des dispositifs dans les machines à écrire de la CIA qui enregistraient chaque mouvement de leurs bras mécaniques, transmettant en temps réel les caractères exacts que les agents apposaient sur les documents.
Aujourd'hui, les conjoints jaloux, les patrons autoritaires et les régimes despotiques font de même en installant secrètement des enregistreurs de frappe sur un appareil, en utilisant des méthodes à peine plus avancées.
Les types d'enregistreurs de frappe
Comme les punaises de lit, les enregistreurs de frappe sont coriaces et peuvent se loger pratiquement n'importe où. Voici les principaux types d'enregistreurs de frappe que vous pouvez rencontrer :
- Les enregistreurs de frappe logiciels : ces programmes sournois peuvent se nourrir des scripts d'une page Web, s'introduire dans la mémoire de votre ordinateur ou même se faire passer pour un programme légitime pour votre clavier.
- Les enregistreurs de frappe matériels : également connus sous le nom de dongles, ces enregistreurs de frappe physiques peuvent intercepter les données échangées entre votre clavier et le port USB de votre ordinateur. Ils peuvent même transmettre par Wi-Fi votre recherche récente sur wikiHow « comment gérer un patron difficile » directement à votre patron difficile.
- Les enregistreurs de frappe sans fil : si vous avez des démêlés avec la CIA ou la NSA, un enregistreur de frappe ultra sophistiqué peut être déployé pour détecter une connexion non chiffrée entre votre clavier sans fil et votre PC, et enregistrer vos frappes au passage.
Points de vue d'experts sur l'enregistrement de frappe
Patrick Wardle, chercheur principal en sécurité chez Jamf, estime que l'enregistrement de frappe est « l'une des capacités les plus puissantes qu'un logiciel malveillant puisse avoir ». Il rassure les personnes qui craignent qu'un tel logiciel soit installé sur leur appareil et les invite à ne pas envisager le pire des scénarios.
« Pour l'utilisateur moyen, je dirais que le risque n'est pas incroyablement élevé. » D'accord, merci, mais j'ai toujours la trouille.
key log·ging
nom /kiːlɔɡŋ
l'action d'enregistrer les frappes, généralement de manière secrète, de sorte que l'utilisateur n'est pas au courant que ses actions sont surveillées
Comment se protéger des enregistreurs de frappe
Heureusement, même si vous n'êtes pas assez important pour vous faire voler votre clavier, il existe des moyens de vous protéger :
- Mettez à jour votre système d'exploitation : vérifiez toujours que vous utilisez la dernière version de votre système d'exploitation. Il est plus difficile pour les cybercriminels de déchiffrer le code le plus récent.
- Utilisez un logiciel anti-spyware : il n'est pas difficile d'installer un logiciel anti-spyware. Ces programmes peuvent aider à détecter et à supprimer les enregistreurs de frappe avant qu'ils ne puissent causer des dommages.
- Utilisez un gestionnaire de mots de passe : l'utilisation d'un gestionnaire de mots de passe peut sécuriser vos identifiants. Les gestionnaires de mots de passe peuvent générer et enregistrer des mots de passe complexes, réduisant ainsi le risque que les enregistreurs de frappe les capturent.
- Vérifiez la présence d'enregistreurs de frappe physiques : gardez un œil sur les dongles suspects qui pourraient ressembler à une clé USB branchée si vous utilisez un ordinateur partagé. Si vous en trouvez un branché à votre appareil au travail, demandez à lire la politique de confidentialité de votre entreprise. Et si vos patrons suivent toutes vos frappes de clavier, il est peut-être temps de trouver un nouveau travail.
Démystifier le keylogging
Il existe également des blagues auxquelles il ne faut pas faire attention en ligne, comme des gens qui prétendent repérer les enregistreurs de frappe en mesurant la vitesse à laquelle leur clavier enregistre les frappes.
« Je reçois beaucoup d'e-mails de la part de personnes qui sont persuadées d'avoir été piratées, et la seule preuve qu'elles fournissent est que leur souris se déplace alors qu'elles ne l'ont pas déplacée », explique P. Wardle.
Mais n'en concluez pas automatiquement que la NSA lit votre liste de recettes de lasagnes que vous vous êtes envoyée par e-mail.
- Mythe : vous pouvez détecter les enregistreurs de frappe par la vitesse de vos frappes.
- Réalité : il est probable que si un enregistreur de frappe existe, il est suffisamment sophistiqué pour que vous ne puissiez pas le remarquer. « Je dirais que 95 % des enregistreurs de frappe n'auront aucun impact perceptible sur votre système d'exploitation », explique P. Wardle.
À moins que ce soit un adolescent qui ait créé l'enregistreur de frappe la nuit dernière dans son garage, vous ne le détecterez pas en regardant à quelle vitesse votre clavier enregistre les frappes ou en notant les comportements bizarres mineurs de votre ordinateur.
Comme les punaises de lit, les enregistreurs de frappe sont coriaces et peuvent se loger pratiquement n'importe où. Ils peuvent se nourrir des scripts d'une page Web, se faufiler dans la mémoire de votre ordinateur ou même se faire passer pour un programme pour votre clavier.
L'industrie florissante de l'enregistrement de frappe
L'industrie de l'enregistrement de frappe est en plein essor. Il ne s'agit pas seulement des harceleurs et des cybercriminels, mais aussi des entreprises.
- En 2015, Microsoft a commencé intégrer un enregistreur de frappe à Windows 10 (que les utilisateurs pouvaient désactiver, mais qui pense à le faire ?). Des enregistreurs de frappe ont également été découverts dans des bibliothèques scolaires, des banques et des ordinateurs portables HP.
- En 2017, un développeur allemand a découvert que son ancien employeur avait collecté les informations qu'il avait saisies sans son accord, ce qui a amené un tribunal à considérer l'enregistrement de frappe comme illégal. Aux États-Unis, aucune loi fédérale n'empêche un employeur d'espionner de manière invasive ses employés. Soyez très prudent lorsque vous ajoutez une chaîne Slack privée réservée aux amis à votre ordinateur de travail.
Malheureusement, l'industrie des enregistreurs de frappe est robuste, précisément parce qu'il existe encore un marché (malsain !) pour ce type de « logiciel de harcèlement ». En travaillant sur cet article, je me suis amusé à rechercher YouTube des « vidéos d'enregistreurs de frappe », et les résultats m'ont fait comprendre à quel point l'être humain peut avoir l'esprit tordu.
J'ai vu une vidéo expliquant comment mettre en échec un clavier et une autre montrant comment espionner le téléphone portable de quelqu'un. Dans chacune des deux vidéos, il était indiqué qu'elles étaient destinées à des « fins éducatives et de divertissement uniquement », bien que les animateurs ne soient pas divertissants et que je doute que quelqu'un les regarde uniquement pour le plaisir d'apprendre. Beurk.
Assurer la sécurité de vos frappes : réflexions finales sur l'enregistrement de frappe
L'enregistrement de frappe est une menace de cybersécurité importante, mais comprendre son fonctionnement et prendre des mesures proactives peut vous protéger.
Vous assurer que votre système d'exploitation est à jour, installer un logiciel anti-spyware ou vérifier la présence de dongles suspects avant d'utiliser un nouvel appareil sont autant de mesures que vous pouvez prendre pour protéger vos données personnelles.
Si l'idée que votre clavier puisse se retourner contre vous est troublante, rappelez-vous qu'avec les bonnes précautions, vous pouvez protéger vos secrets.
Inscrivez-vous pour connaître toute l'actualité de Dashlane
