Blog
 
"KeePass Password Safe" : se protéger des keyloggers / enregistreurs de frappe (Feuilleton, n° 8)

Publiée le : 11/01/2020

A quoi sert un mot de passe principal solide si c'est pour se le faire voler quand on le saisit ?
Le risque vient aussi bien
- d'un humain qui observe votre frappe que
- plus subtilement d'un logiciel ou dispositif qui en arrière-plan, sans que vous vous en rendiez compte, enregistre les frappes du clavier.
On les appelle les "keyloggers" ou "enregistreurs de frappe"
(Plus ici : https://fr.wikipedia.org/wiki/Enregistreur_de_frappe )

On pourrait les classer en 2 catégories : 1/ les équipements physiques, et 2/ les logiciels.

Une digression d'abord pour évoquer qu'il existe une façon plus perfectionnée de protéger votre base de données de mot de passe (statique et réutilisable) de son interception : il s'agit de l'authentification à deux facteurs dont un est dynamique (un sorte de mot de passe généré dynamiquement et à chaque fois unique via un équipement (par exemple une yubikey) ou un logiciel sur un smartphone séparé)
Ce type de solution demande l'installation d'un plugin dans KeePass.
Mais commençons aujourd'hui d'abord à regarder ce que l'on peut faire sans cette étape supplémentaire plus technique.

1/ Contre les enregistreurs de frappe physique il y a peu à faire, sauf à inspecter visuellement votre installation matérielle : regardez ou mène le fil de branchement de votre clavier : y a-t-il un adaptateur suspect entre votre clavier et l'ordinateur ?
Hélas il en existe plus qu'on pense, il suffit de faire une recherche "Enregistreur de frappe" sur un site d'e-commerce avec pignon sur rue pour s'apercevoir... de la riche collection ! Certains ont même intégré dans un câble de rallonge USB ! Bref... (Soupire).
Seule solution : surveiller votre installation, verrouiller physiquement l'ouverture de votre ordinateur (plusieurs marques permettent la pose d'un verrou), ou apposer un témoin "Scellés adhésifs antieffraction" pour vérifier que votre station de travail n'a pas été ouverte pendant votre absence.
https://sbedirect.com/fr/scelles-adhesifs-anti-effraction/
Certain boitier sont équipé d'un interrupteur antieffraction qui enregistre si le boitier de l'appareil a été ouvert, à activer dans le BIOS (demander à votre informaticien ou service informatique)

Si vous utiliser un clavier "sans fil" la question à se poser est : est-ce que la transmission sans fil est cryptée ?
Les modèles bas de gamme le sont probablement pas : on peut donc intercepter votre frappe via les ondes radio avec un dispositif adapté (et à distance, c'est un plus !)
Les modèles qui disposent d'un chiffrement de la liaison en sont d'habitude fière : ils le mentionnent.
Si rien n'est mentionné sur le chiffrement : méfiance ...

2/ Pour le deuxième cas (le cas 2/ : logiciels) la solution est plus simple :
- avoir un antivirus de qualité et à jour
- utiliser les paramétrages de KeePass pour utiliser le moins (longtemps) possible de "presse papier" de Windows, - - utiliser le mode de saisie qui permet d'utiliser le mode "bureau sécurisé" de Windows

Regardons cela un par un.

Une fois votre base de donnée ouverte dans KeePass rendez-vous dans la barre de menu sur l'onglet "Outils", puis l'entrée "Options".
Ne pas paniquer : il y en a beaucoup, mais on est pas obligé de toucher à tout !
Regardez seulement quelques éléments pour rendre votre installation de KeePass plus sécurisé.

D'abord regarder tout ce qui concerne le "verrouillement" automatique de la base de données.
- après une période d'inactivité de KeePass
- après une période d'inactivité de l'utilisateur en session.
Plus vous réduisez la fenêtre de temps, plus vous sécurisez votre installation.

Puis regarder ce qui concerne le "presse-papiers" : "Effacement du presse-papier après un délai (en secondes) : mettez-y juste ce qu'il vous faut en tant que humain pour faire le copier/coller. Pas besoin de laisser le mot de passe plus longtemps dans le presse-papier (à la merci d'autres logiciels trop curieux).
Bien sûr on coche aussi "Ne pas enregistrer les données dans l'historique du presse-papier de Windows ni dans le presse-papiers du nuage" (c'est sympathique d'avoir prévu cette possibilité, mais disons que pour la sécurité ce n'est pas vraiment l'idéal...)

Puis regarder ce qu'il y a dans la fenêtre "Avancé" : vous allez y trouver le plus intéressant.
"Saisir la clé principale sur un bureau sécurisé" : à cocher sans hésitez !
Au moment de la saisie du mot de passe principal KeePass demandera un mode de fonctionnement spécial à Windows qui permet d'être "isolé" des autres processus (logiciels) en cours sur l'ordinateur : ainsi ils ne peuvent pas interagir avec la phase de saisie du mot de passe.
Que je sache jusqu'à présent très peu de logiciels (voir aucun) ont réussi à briser ce mode de protection de Windows.


Retour à la liste