Se protéger contre les enregistreurs de frappes

Un enregistreur de frappes, ou programme de keylogging, permet à un attaquant de récupérer toutes les frappes clavier afin de subtiliser des mots de passe, des informations confidentielles, etc. Il agit sur des applications ciblées.

SES Evolution empêche l'application qui est au premier plan de transmettre ses frappes clavier aux autres applications. En revanche, elle peut recevoir ses propres frappes clavier.

Afin de vous protéger de manière plus globale contre toute utilisation de l'API SetWindowsHookEx, activez plutôt la protection contre la Pose de hooks par des applications. Pour plus d'informations, reportez-vous aux sections Connaître les différentes menaces et leur protection et Configurer la protection contre les menaces.

EXEMPLE
Vous pouvez utiliser cette protection pour interdire l'enregistrement des frappes des navigateurs web, gestionnaires de mots de passe, et de l'explorateur de fichiers Windows. Autorisez-les seulement pour les applications légitimes de type outils de virtualisation et outils de prise en main à distance.

Vous devez au préalable avoir créé un identifiant d'applications pour chaque application à protéger et pour chaque application autorisée à faire du keylogging. Pour plus d'informations, reportez-vous à la section Créer des identifiants d'applications.

  1. Choisissez le menu Politiques et cliquez sur votre politique.
  2. Sélectionnez un jeu de règles.
  3. Cliquez sur l'onglet Applicatif > Enregistreur de frappes.
  4. Si vous êtes en lecture seule, cliquez sur le bouton Modifier dans le bandeau supérieur.
  5. Cliquez sur Ajouter une règle (Enregistreur de frappes).
    Une nouvelle ligne s'affiche.
  6. Cliquez sur l'icône dans la zone des identifiants d'applications et choisissez la ou les applications à protéger.
    Par exemple, ajoutez Internet Explorer, Windows Explorer et le gestionnaire de mots de passe.
  7. Dans le champ État de la zone Comportement par défaut, choisissez pour une règle de protection :
    • Autoriser pour autoriser l'enregistrement de frappes par défaut,
    • Bloquer pour bloquer l'enregistrement de frappes par défaut,
    • Bloquer et interrompre pour bloquer l'enregistrement de frappes et arrêter le processus qui a tenté l'enregistrement.
  8. Cliquez sur l'icône + Ajouter un comportement spécifique et choisissez la ou les applications à autoriser.
    Par exemple, ajoutez ici les applications qui font du keylogging légitime, par exemple les outils de prise en main à distance, et dans État choisissez Autoriser pour que la protection autorise ces applications.
    Exemple de règle contre les enregistreurs de frappes
  1. Dans le bandeau supérieur de la règle, vous pouvez :
    • Choisir de rendre la règle passive. Une règle passive agit comme une règle classique mais ne bloque pas véritablement les actions. L'agent émet uniquement des logs indiquant quelles actions auraient été bloquées par la règle.
      Utilisez ce mode pour tester de nouvelles règles de restriction, en connaître les impacts, et procéder à des ajustements avant de désactiver le mode Règle passive. Pour plus d'informations sur les tests de règles et de politiques, reportez-vous à la section Tester une politique de sécurité.
    • Indiquer si la règle doit générer un incident lorsqu'elle s'applique.
    • Sélectionner les paramètres des logs qui seront émis par cette règle.
    • Spécifier si une action doit être effectuée lors de l'émission d'un log pour cette règle. Vous pouvez demander qu'une notification soit affichée sur l'agent et/ou qu'un script soit exécuté.
    • Saisir une description pour expliquer l'objectif de la règle.
  2. Chaque règle affiche sur sa gauche son numéro de rang. Si besoin, réagencez l'ordre de vos règles en cliquant sur les flèches en dessous et au-dessus du numéro.
  3. Cliquez sur Enregistrer en haut à droite pour enregistrer vos modifications.