arrow_back
search
close

Qu'est-ce qu'un Keylogger ?

Définition du Keylogger

Un enregistreur de frappe (abréviation d'enregistreur de frappe) est un type de technologie de surveillance qui suit et enregistre chaque frappe effectuée sur un ordinateur ou un appareil mobile. Bien que les enregistreurs de frappe soient souvent associés à une cyberactivité malveillante, comme le vol d'identifiants de connexion ou de données sensibles, ils peuvent également être utilisés dans des scénarios légitimes, tels que la supervision des employés ou un logiciel de contrôle parental.

Types de keyloggers

Les enregistreurs de frappe varient en termes de mode de fonctionnement et de niveau d'accès au système. Vous trouverez ci-dessous les types les plus courants, chacun ayant des comportements distincts et des implications pour la détection :

Enregistreurs à clé basés sur API

Ces enregistreurs utilisent des API système standard pour enregistrer les frappes. Ils imitent les interactions normales entre le matériel et les logiciels, ce qui les rend particulièrement difficiles à distinguer des processus légitimes. Chaque fois qu'une touche est enfoncée ou relâchée, l'enregistreur capture l'événement en temps réel sans alerter l'utilisateur.

Enregistreurs à clé Form-Grabbing

Au lieu de surveiller les frappes individuelles, les utilisateurs capturent l'intégralité du contenu des formulaires Web lorsqu'un utilisateur les soumet. Cela signifie que les noms d'utilisateur, mots de passe, informations de carte de crédit et autres données sensibles peuvent être interceptés avant d'être chiffrés et transmis.

Enregistreurs à clé au niveau du noyau

En opérant au niveau de la couche la plus profonde d'un système d'exploitation, le noyau, ces enregistreurs de frappe bénéficient d'un accès au niveau administratif. Ils peuvent enregistrer n'importe quelle activité sans détection par des outils antivirus standard, ce qui en fait l'une des variétés les plus dangereuses.

Enregistreurs de clé basés sur JavaScript

Souvent injectés dans des sites Web compromis ou par le biais d'attaques basées sur navigateur, ces enregistreurs de frappe utilisent des scripts malveillants pour surveiller la saisie du clavier dans une page Web. Ils sont déployés via des méthodes telles que le cross-site scripting (XSS), les attaques de type « homme du milieu » ou le contenu tiers compromis.

Enregistreurs à clé basés sur le matériel

Les enregistreurs de frappe matériels sont des dispositifs physiques qui sont insérés entre le clavier et l'ordinateur, ou même intégrés dans les claviers eux-mêmes. Ils nécessitent un accès physique au dispositif cible pour être installés, mais sont pratiquement indétectables grâce à des analyses antivirus ou logicielles traditionnelles. Une fois installés, ils enregistrent les frappes dans la mémoire interne ou les transmettent sans fil à un récepteur externe.

Fonctionnement des Keyloggers

Les enregistreurs de frappe fonctionnent en interceptant et en enregistrant les entrées des utilisateurs, en tirant souvent parti de tactiques furtives pour rester cachés aux utilisateurs et aux logiciels de sécurité. Voici un aperçu plus approfondi de leur fonctionnement :

Capture des entrées du clavier

La méthode principale utilisée par les enregistreurs de frappe consiste à intercepter les frappes au fur et à mesure de leur saisie. Ils y parviennent généralement grâce à :

  • Accroche API : De nombreux enregistreurs de frappe logiciels utilisent des crochets au niveau du système, comme l'API SetWindowsHookEx sur Windows, pour intercepter les événements de clavier avant qu'ils n'atteignent les applications.
  • Interception au niveau du noyau : Des enregistreurs de frappe plus avancés fonctionnent au niveau de la couche de noyau, capturant les données d'entrée brutes directement à partir du matériel, contournant souvent les défenses de sécurité en mode utilisateur.

Cela permet aux enregistreurs de frappe d'enregistrer tout, des documents saisis aux identifiants de connexion, sans que l'utilisateur ne le sache.

Techniques de traitement et de vol des données

En plus d'enregistrer les frappes, de nombreux enregistreurs de frappe sont conçus pour collecter une activité utilisateur plus étendue et transmettre les informations volées de manière secrète :

  • Capture de données étendue : Certaines variantes enregistrent également le contenu du presse-papiers, effectuent des captures d’écran périodiques ou enregistrent les sites Web visités et l’utilisation des applications.
  • Stockage et transmission : Les données capturées sont stockées localement dans des fichiers cachés ou transmises à un serveur distant par e-mail, FTP ou canaux de communication cryptés.
  • Opérations furtives : Pour éviter la détection, les enregistreurs de frappe se déguisent souvent en processus légitimes, utilisent des techniques rootkit pour cacher leur présence ou opèrent exclusivement dans la mémoire système pour échapper aux analyses antivirus basées sur des fichiers.

Utilisations réelles des Keyloggers

Cas d'utilisation malveillants

  • Vol d'identité : Les cybercriminels peuvent utiliser des enregistreurs de frappe pour capturer des noms d'utilisateur, des mots de passe, des identifiants bancaires et des numéros d'identification personnels (PIN).
  • Surveillance : Les pirates informatiques peuvent surveiller l’activité en ligne d’une victime, lire des e-mails ou suivre les conversations.
  • Espionnage d'entreprise : Dans les environnements professionnels, des enregistreurs de frappe peuvent être déployés pour voler des secrets commerciaux ou obtenir un accès non autorisé à des informations confidentielles.

Cas d’utilisation légitimes

  • Contrôles parentaux : Certains parents installent des enregistreurs de frappe pour surveiller le comportement en ligne de leurs enfants, en s’assurant qu’ils sont en sécurité et qu’ils ne s’engagent pas avec du contenu nuisible.

  • Surveillance du lieu de travail : Les employeurs peuvent utiliser des enregistreurs de frappe dans le cadre d'outils de surveillance des endpoints pour suivre la productivité et assurer la conformité aux politiques de l'entreprise. Cependant, cela doit être fait de manière transparente et éthique, en respectant les droits à la vie privée des employés.

Comment les keyloggers infectent les appareils

Les enregistreurs de frappe sont généralement fournis par des méthodes similaires à d'autres types de malware, notamment :

  • E-mails de phishing et pièces jointes malveillantes : Les attaquants envoient des e-mails convaincants contenant des documents ou des liens infectés. L'ouverture d'un fichier piégé par un robot, comme un document Word activé par macro, peut installer un enregistreur de frappe en silence.
  • Techniques de malware sans fichier : Au lieu de laisser des traces évidentes, les enregistreurs de frappe sans fichier injectent le code directement dans la mémoire à l'aide d'outils tels que PowerShell ou l'injection DLL.
  • Logiciels trojancés et regroupement de logiciels : Les enregistreurs de frappe sont parfois dissimulés dans des applications apparemment légitimes ou des téléchargements de logiciels piratés. L'installation de ces programmes falsifiés installe involontairement l'enregistreur en arrière-plan.
  • Extensions de navigateur malveillantes (attaques d'homme dans le navigateur) : Les faux modules complémentaires de navigateur ou ceux compromis peuvent capturer tout ce qui est saisi dans des formulaires Web, contournant ainsi les protections comme les gestionnaires de mots de passe ou les claviers virtuels.
  • Kits de téléchargements et d'exploitation Drive-by : Même en visitant simplement un site Web compromis avec un navigateur ou un plug-in obsolète, vous pouvez déclencher un téléchargement automatique, qui installera silencieusement un enregistreur de frappe sur votre appareil.
  • DROPs USB et accès physique : Les attaquants peuvent planter des périphériques USB infectés ou installer physiquement des enregistreurs de frappe matériels entre un clavier et un ordinateur pour capturer silencieusement des données sans avoir besoin d'une interaction de l'utilisateur.

Techniques de persistance

Une fois installés, les enregistreurs de frappe visent à survivre aux redémarrages et à rester cachés à l'aide de méthodes telles que :

  • Entrées de démarrage automatique et tâches planifiées : Les enregistreurs de frappe s'ajoutent eux-mêmes aux dossiers de démarrage, aux clés de registre ou aux tâches planifiées pour se relancer automatiquement au démarrage.
  • Installation du service et injection du processus : Certains enregistreurs s'installent en tant que services système ou s'injectent dans des processus légitimes (comme explorer.exe) pour se fondre dans les opérations régulières du système.
  • Abus d'outils légitimes : En utilisant des fichiers binaires « vivant hors de la terre » (comme wscript.exe ou powershell.exe), les enregistreurs de frappe peuvent s'exécuter en silence sans artefacts malveillants évidents.
  • Firmware ou Bootkits : Les enregistreurs de frappe hautement sophistiqués peuvent infecter le BIOS du système ou le firmware de l'appareil, ce qui leur permet de s'activer avant même que le système d'exploitation ne se charge, une tactique généralement observée dans les attaques ciblées de grande valeur.

Comment détecter et supprimer un Keylogger

Reconnaître la présence d'un enregistreur de frappe peut être difficile, mais il existe des signes révélateurs :

  • Retard ou lenteur inattendu dans la réponse du clavier
  • Processus inconnus ou suspects exécutés dans Task Manager ou Activity Monitor
  • Des plantages fréquents d'applications ou un comportement inhabituel du système
  • Performances de navigation Web nettement plus lentes

Pour supprimer les enregistreurs de frappe :

  • Utilisez des outils antimalware ou anti-keylogger dédiés pour analyser votre appareil.
  • Maintenez votre logiciel antivirus à jour et effectuez des analyses régulières pour détecter les nouvelles menaces.
  • Démarrez en mode sécurisé pour effectuer des vérifications plus approfondies du système.
  • Réinitialisez les paramètres du navigateur et de l’application pour éliminer les extensions malveillantes.

Comment se protéger contre les Keyloggers

Voici quelques étapes proactives pour prévenir les infections par keylogger :

  • Maintenez le logiciel à jour : mettez régulièrement à jour votre système d'exploitation, vos navigateurs et vos applications pour corriger les vulnérabilités connues que les enregistreurs de frappe et les malware exploitent souvent.
  • Utilisez Antivirus et Endpoint Security - Installez des solutions antivirus ou de sécurité des endpoints fiables avec une protection en temps réel et une détection comportementale pour détecter les menaces connues et émergentes.
  • Activer l'authentification multifacteur (MFA) - Même si un mot de passe est capturé, l'AMF ajoute une couche de sécurité supplémentaire cruciale qui peut bloquer l'accès non autorisé.
  • Claviers virtuels - Les claviers virtuels vous permettent de cliquer sur les touches à l'écran au lieu de taper, ce qui rend plus difficile pour les enregistreurs de frappe de base de capturer votre entrée.
  • Formation des utilisateurs et sensibilisation à la sécurité : éduquez régulièrement les utilisateurs sur les risques de phishing, les téléchargements suspects et les signaux d'avertissement d'enregistreur de frappe.

Qu'est-ce qu'un Keylogger ?

Ressources

Support

À propos de Trend

Siège social national

  • Trend Micro - France (FR)
  • 85, rue Albert Premier
    92500, Rueil Malmaison
    France
  • Phone:: +33 (0)1 76 68 65 00

Sélectionnez un pays/une région

close

Amérique

Moyen-Orient et Afrique

Europe

Asie-Pacifique

Testez gratuitement notre plateforme unifiée

Copyright ©2025 Trend Micro Incorporated. All rights reserved.