KEYLOGGER : Votre Avis ?

le 6 mai 2011

Bonjour,

Je suis tout nouveau sur le forum.

Et j'ai une sensibilité particulière à toutes les questions,

qui tournent autour de la sécurité.

J'ai 5 questions.

Mais avant de poser les questions, voici le contexte.

Je suis chef d'entreprise, et je cherche à protéger

les informations stratégiques, liées aux activités de notre entreprise.

Sur chaque poste informatique, j'ai mis en place un système de sécurité.

Je ne sais pas ce qu'il vaut, mais le voici :

- Firewall = Zone alarme pro

- Antivirus = Wirus keeper pro

- Contre les malwayres = Malwarebytes

- L’historique n'est jamais conservé

- Les mots de passe ne sont pas enregistrés

- Les rapports de plantage ne sont pas soumis à Windows

- Pas de mises à jour Windows

- Rapport d'erreur windows : j'ai coché "Ne jamais recherché de solutions"

- Paramètres d'utilisation à distance : J'ai décoché " Autoriser les connexions à distance"

- Propriétés windows : j'ai décoché " Autoriser l'indexation du contenu "

J'ai firefox comme navigateur.

J'ai installé keyscrambler qui crypte ce que j'écris sur le clavier.

Voici les 5 questions :

1) Que puis-je rajouter comme éléments de protection ?

Contexte de la 2ème question :

J'ai vu qu'il existe différents Keyloggers.

Certains sont capables, de tout voir.

Je m'explique.

J'ai installé sur mon PC, " ALL IN ONE KEYLOGGER ", pour voir

ce que voit un keylogger.

Première remarque :

Ce qui est tapé sur mon clavier est bien crypté (ouf, on peut pas voir mes mots de passe)

Mais c'est le seul point positif.

Car, ce keylogger est effroyablement redoutable.

Il fait des captures écrans de tout ce que je fais.

Absolument tout...

Que j'ouvre une page web, un document. Il voit tout.

Et c'est assez flippant.

Donc, la 2ème question est :

2 ) Est-ce qu'un très bon pirate peut installer à distance

un keylogger aussi puissant ?

Car j'avais cru comprendre que les keyloggers installables à distance,

ne peuvent enregistrer que les frappes faîtes sur le clavier.

Si c'est exact, je suis rassuré, car KEYSCRAMBLER crypte tout ce que j'écris.

Si ce n'est pas juste, cela m’amène à la 3ème question :

Pour que le pirate récupère les "logs" textuels ou visuels

de mon activité, il a besoin de se connecter à internet.

3 )Est-il possible qu'il fasse "sortir" ces informations,

sans que le firewall le signale.

Et j'en viens à la 4ème question.

J'ai cru comprendre qu'un programme espion, pour faire sortir des infos,

se fait passer pour un programme légitime.

Par exemple, à chaque fois que j'allume le PC,

Le firewall envoie un message en disant que l'antivirus

tente de se connecter à internet.

Et je refuse toujours.

La 4ème question est :

4) Est-il possible que ce soit le programme pirate qui se fait passer

pour l'antivirus, qui tente de se connecter à internet ?

Ou bien c'est normal que l'antivirus cherche à se connecter à internet,

au démarrage d'une session ?

Enfin, la dernière question est :

5 )" Si un keylogger installé à distance (pas directement sur mon pc)a cette capacité

de tout voir, quelles solutions ?

A tout problème, il y'a une solution, pas vrai ?

Voilà cher(e)s ami(e)s, j'espère qu'il y'a des spécialistes

de la sécurité web qui pourront répondre à ces questions.

Et j'espère aussi que ces problématiques auront suscité de l'intérêt,

parmi ceux qui ne sont peut-être pas encore informé, sur ces questions

aussi sensibles que la sécurité.

Car la SECURITE WEB, selon mon point de vue, est le nouvel et grand enjeu des décennies

à venir.

Merci d'avance pour les réponses.

J'ai hâte de vous lire...

:-)

Jadaire

Zonk · le 7 mai 2011

Salut Jadaire

je vais répondre aux questions que je connais....et je ne suis pas un pro mais plutot un passioné

L'antivirus Wirus Keeper pro ne me dit absolument rien.....donne moi des infos sur ce produit...

Personnellement j'irais vers Kaspersky antivirus ....il est difficilement battable

Les mises a jour "prioritaire" de Windows sont une des choses les plus importantes a faire ...autrement tu fais un gruyère de ton système d'exploitation

Les rapports de plantage envoyer a Microsoft ne sont d'aucune dangerosité....et aussi d'aucune utilité !! lol

L'acces a distance est préférablemnent désactivé....comme tu l'a fait

Ne pas enregistrer les mots de passe est une bonne chose....

Un firewall du type Zone Alarm Pro devrait t'avertir pour chacune des autorisations.....peut importe le programme....nocif ou non

et dans le contexte que ton antivirus est legitime alors laisse le faire ses mise a jours....autrement tu diminues grandement sa protection

Si tu veux augmenter ta securité il y a des choses de bases a faire....et tellement simple ...ex:

-Mettre les comptes des usagers en "Utilisateur limité"....ne se servir que du compte "Admin" que pour les modifications légitimes

-BIen configurer le routeur

-Mots de passe complexe et changer sur une base régulière

-Faire des sauvegardes sur une base régulière des fichiers personnels

-Vaccination

-Désactivation de l'autorun

......et dans le contexte d'une entreprise de demander l'avis d'un spécialiste ....quelques sous de dépenser mais probablement bien des ennuis en moins

Il y a toujours Linux qui est une bonne solution...comme Ubuntu par exemple

Ubuntu-fr | Communauté francophone d'utilisateurs d'Ubuntu

...pas la panacée mais pas mal moins viser par les attaques du moins dans un contexte "securité" informatique....du moins pour le moment et de plus on trouve dans le gratuit tres facilement .

@+

Edit: Malwarebytes Anti-Malware est très bon .....

Modifié le 7 mai 2011 par Zonk

le 7 mai 2011

Salut Zonck,

Merci pour tes réponses.

Mon entreprise est toute petite et je n'ai pas encore les moyens

de me payer des "spécialistes" de la sécurité web.

Pour Keeper Pro, je t'avoue que je ne sais trop quoi dire,

à part que j'avais lu ici et là, que c'était un des meilleurs.

Mais je vais utiliser Karspersky.

Pour les manip. que j'ai faîtes à propos

des rapports de plantage et des mises à jours windows,

elle m'ont été recommandées par un jeune qui était en stage chez moi

et qui avait déjà réussi à hacker des PC.

Et il m'a dit qu'un programme malveillant peut se faire

passer pour une mise à jour windows, pour "sortir" les infos du PC hacké.

Dis-moi Zonck, j'ai besoin d'éclaircissement pour les 3 points suivants :

1. En quoi mettre l'usager en "utilisateur limité" est une sécurité,

par rapport à une attaque à distance ?

2. Comment bien configurer un routeur ? (j'ai une box alimenté par le câble - numéricable)

3. Comment désactiver l'autorun ? et en quoi c'est utile ?

Merci d'avance pour tes réponses et ta disponibilité

:-)

Jadaire

Zonk · le 7 mai 2011

Si tu possèdes VirusKeeper Pro alors celui-ci est légitime....pour ce qui est de le remplacer a toi d'y voir....mais si tu a payer pour une licence pourquoi ne pas l'utiliser jusqu'a expiration ?

Mais demeure que le meilleur antivirus est le cerveau....aucun antivirus n'est a toutes épreuves.

Tu as raison de craindre pour les menaces venant du web....mais j'ai d'avantage de craintes des possibles modifications pouvant etre faites de l' "Interne"....volontairement ou non.

Pour ce qui est des comptes "limité" alors je crois que ca peut aider dans toutes les directions car ca restreint la portée des actions....

Pour ce qui est des routeurs et box il faut s'assurer que le login par défaut a été changer et dans le cas de réseau sans fil activé ,de s'assurer que la securisation (idéalement wpa2 ) est présente

Voici quelques liens utiles

Je protège mon identité sur Internet

Pour ce qui est de désactiver l'Autorun ,je dois t'avouer que je suis passé par les outils offerts dans Kaspersky Antivirus 2011 pour les désactiver .....(recherche des vunerabilités)

alors exactement comment faire manuellement ou quels programmes gratuits a te recommander ,je ne peux te guider avec certitude pour le moment

Probablement que quelqu'un nous donnera la solution la plus sûre et complète sous peu

Certains malwares peuvent se répendre en se multipliant sur tout les disques offrant l'execution automatique via "autorun"

Ainsi des fichiers peuvent etre enregistrer et ajouter a autorun.inf et celui se lancera par lui-même afin de faire son sale travail

La désactivation de l'autorun n'a pas d'impact negatif sur l'ordi....

AutoRun - Wikipédia

@+

Édit : orthograhe douloureux !

Modifié le 7 mai 2011 par Zonk

fiche · le 7 mai 2011

Bonjour,

Je n'ai pas grand chose à ajouter aux préconisations précédentes.

Windows :

Sur les quelques PC que connais, j'ai toujours crée des comptes utilisateurs limités pour l'utilisation courante. Le compte administrateur ne sert qu'une fois par mois pour faire les mises à jour Windows et des programmes installés.

Ainsi, l'utilisateur "limité" ne peut pas installer tout et n'importe quoi (en tous cas, les programmes nécessitant un accès aux fichiers système de Windows) et si une infection n'est pas détectée par l'antivirus, elle fera pas ou moins de dégâts que si elle était arrivée à partir d'un compte administrateur.

Quelques informations ici : Malekal's forum • Pourquoi ne pas surfer avec les droits administrateur? : Papiers / Articles

C'est un peu contraignant au début mais on s'y fait très vite. Il faut simplement penser à désactiver les mises à jour automatiques de Windows et des programmes qui ne pourront pas s'installer en session limitée.

Mises à jour une fois par mois :

Cette analyse en ligne facile d'utilisation vous signale si vos programmes sont à jour et vous indique le cas échéant les liens de téléchargement : OSI - Consumer - Products

Autorun :

Mon antivirus (Avira Antivir) désactive lui-même l'autorun. A voir dans la configuration du vôtre.

Sensibiliser les utilisateurs en leur préconisant de ne pas apporter de clés USB de chez eux qui pourraient contaminer les PC en interne.

Si vous voulez bloquer certains sites, vous pouvez utiliser un fichier hosts (par exemple celui-ci : http://winhelp2002.mvps.org/hosts.htm) et y ajouter des lignes pour les sites à bloquer. L'utilisateur ne pourra pas le modifier en session limitée.

Explications sur le fichier hosts : Fichier Hosts | malekal's site

Modifié le 7 mai 2011 par fiche

bleuet · le 7 mai 2011

Comment désactiver l'autorun ? et en quoi c'est utile ?

Je reviens sur ta remarque.

Un point important de sécurité pour éviter une infection du fichier Autorun.inf par disque amovible est d'effectuer une vaccination de tous les disques y compris les supports externes. ( DD, clés USB...).

Cette vaccination peut se faire avec USBFix ou Flash Disinfector.

1/.

USBFix : Recherche

• Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.

• Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir

• Lance USBFix (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur).

• Au menu principal, clique sur "Recherche"

• Laisse travailler l'outil

• A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

Aide en images : Tutoriel "Recherche"

--------

USBFix : vaccination

• Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir

• Double clique sur le raccourci UsbFix sur ton Bureau

• Clique sur "Vacciner"

• Le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé à la racine du disque dur).

Note : Il se peut que vous soyez obligé de relancer explorer.exe après l'intervention de UsbFix.

Touche Ctrl+Alt+Suppr. Dans le "gestionnaires des tâches" qui s'ouvre > Fichier > nouvelle tâche.

Dans la fenêtre "créer une nouvelle tâche" taper explorer.exe > OK.

Pour Désinstaller UsbFix, double clic sur le raccourci sur le bureau et prendre l' option 5 ( Désinstaller ) ....

Aide en images : "Tutoriel vaccination"

---------

Télécharge l'outil Flash_Disinfector (de sUBs) et enregistre le sur ton bureau
Double clique sur Flash_Disinfector.exe pour l'exécuter.
Quand le message : [Plug in yours flash drive & clic Ok to begin disinfection] apparaitra :
Connecte au pc, clé USB, DD externes, susceptibles d'avoir été infectés.
Puis clic sur Ok
Les icônes sur le bureau vont disparaître jusqu'à l'apparition du message: [Done!!]
Appuie ensuite sur OK, pour faire réapparaître le bureau.

------------

Pour désactiver l'autorun, il suffit de modifier la clé suivante dans la base de registre :

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/CDRom

Désactivation de l'autorun : --> AutoRun = 0

Activation de l'autorun : --> AutoRun = 1

(fonctionne sur les systèmes Windows 95, Windows 98, Windows ME, Windows NT, Windows 2000,Windows XP, Windows 2003, Windows Vista)

Bleuet (07/05/2011)

Modifié le 7 mai 2011 par bleuet

le 8 mai 2011

Bonjour à tous,

--------------------------------------------------------

Merci Zonck pour tes tuyaux.

--------------------------------------------------------

Merci Fiche. Maintenant, je comprends mieux l'importance d’utiliser un compte utilisateur limité.

--------------------------------------------------------

Merci Bleuet pour les détails de la procédure, pour éviter

une infection du fichier autorun. Je fais ça dans les prochains jours, et je posterai le rapport ici.

---------------------------------------------------------

Salut Janusse,

Merci. Tes réponses suscitent d'autres questions, les voici:

- Comment faire pour activer le pare-feu de la box avec

filtrage des flux entrants ?

- Comment bien réglé Zone alarme pour qu'il signale toutes

les sorties ?

Merci d'avance pour tes réponses. Et pour ceux qui voudraient bien répondre.

Plus on aura de réponses et plus ce sera efficace.

:-)

Jadaire

le 8 mai 2011

Salut Jaunasse,

Merci pour ta réponse.

A ton avis, ce message de Zone alarme Pro : " Virus keeper (c'est mon antivirus) 2011 tente de lancer C:Programe Files/Ax Bx /Virus Keeper 2011 Pro evaluation /vk_planrum.exe " te semble normal ?

:-)

Jadaire

Sacles · le 9 mai 2011

Bonjour,

Concernant ta protection, ZA oui, Virus keeper? j'ai déjà essayé leur firewall (wincerber) c'est une passoire, ports ouverts (139, 123, etc...) donc c'est pas bon signe pour l'AV.

Je pense me souvenir que tu utilises un routeur pour ta connexion. Si c'est bien le cas, tu n'as pas testé le pare-feu de Virus Keeper.

N'importe quel pare-feu bien configuré passe haut la main les tests de ports, même celui implanté dans Windows XP et qui est tant décrié.

Voir "Ports ouverts sans raison : et si cela venait de votre routeur ou Box": http://forum.zebulon.fr/ports-ouverts-sans-raison-et-si-cela-venait-de-votre-routeur-t106502.html

Salut.

Modifié le 9 mai 2011 par Sacles

le 9 mai 2011

Merci Sacles

:-)

Jadaire

Connexion

Pas encore inscrit ?

KEYLOGGER : Votre Avis ?

Messages recommandés

Invité Jadaire

Zonk

Invité Jadaire

Zonk

fiche

bleuet

Invité Jadaire

Invité Jadaire

Sacles

Invité Jadaire

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer