Vol de mots de passe à l’UNIL: les ordinateurs publics protégés contre les keyloggers

par Gilles Ritzmann, coordinateur de services informatiques, Ci-UNIL

Le Centre informatique équipe les ordinateurs publics de dispositif de protection contre les keyloggers matériels.

© Welcomia | Dreamstime.com

Bref rappel des faits

En début d’année 2018, vous pouviez lire plusieurs articles dans la presse relatant un cas de piratage important à l’UNIL. Le Centre informatique a d’ailleurs déjà réagi sur le sujet dans CiNN : « Vol de mots de passe à l’UNIL : les mesures après l’incendie ». En 2017, un étudiant a placé un keylogger matériel sur des ordinateurs publics de l’UNIL et a récupéré les mots de passe de 2700 comptes informatiques (UNIL et privés). Le pirate a été appréhendé fin 2017 et les victimes du piratage ont été informées par e-mail et par courrier.

Exemple de keylogger hardware USB (Stefan Bellini, tiré de wikimedia sous licence WTFPL)

Les keyloggers matériels utilisés par le cyberdélinquant sont discrets et se branchent entre le clavier et la prise USB de la machine ciblée. Malheureusement, les antivirus conventionnels sont inefficaces contre ce type de menace puisqu’ils ne sont pas en mesure de détecter la connexion d’un tel dispositif à l’ordinateur. Le keylogger intercepte et enregistre dans une mémoire interne toutes les touches saisies sur le clavier permettant ainsi de dérober les identifiants utilisés. Il faut néanmoins passer régulièrement pour les débrancher afin de moissonner les données stockées.

La sécurité et les ordinateurs publics UNIL

La flotte de postes publics à l’UNIL est composée de centaines d’ordinateurs en libre accès et à disposition de la communauté universitaire, notamment les bornes InternetUNIL et les ordinateurs de salles informatiques. Afin de limiter la surface d’attaque, et parce qu’aujourd’hui l’immense majorité des étudiants possèdent un smartphone et un laptop utilisables sur notre réseau WiFi ouvert à tous moyennant authentification, nous allons diminuer drastiquement le nombre de bornes InternetUNIL, pour ne conserver à terme que les machines situées à proximité des imprimantes PrintUNIL. Toutes ces machines possèdent des environnements contrôlés, sécurisés et réinitialisés après chaque utilisation. Nous assurons ainsi que les traces numériques laissées par le dernier usager soient correctement nettoyées à la fin de sa session et qu’aucun logiciel malveillant n’y soit présent.

Le Centre informatique protège depuis longtemps ces ordinateurs contre l’installation de keyloggers logiciels, spywares ou autres virus, mais l’accès aux ports USB est autorisé afin de permettre l’utilisation de clés USB encore fréquentes sur le campus. Comme expliqué dans notre article précédent sur le sujet, nous avons choisi de laisser un maximum de liberté aux étudiants de l’UNIL. En mars dernier le journal HEConomist, dans un article qui jetait un regard critique sur la gestion de l’affaire par l’UNIL, citait Solange Ghernaouti, professeure à HEC Lausanne et experte internationale en cybersécurité, pour mettre également en lumière la complexité de la question :

« Faire de la sécurité, c’est faire des compromis, faire des choix, choix d’accorder une confiance excessive aux utilisateurs d’un espace public, choix de privilégier la facilité d’usage, choix de renoncer à certaines facilités personnelles pour un meilleur niveau de sécurité collective ».

Le domaine de la sécurité informatique cherche à trouver et maintenir un fragile équilibre entre liberté et sécurité. En 2017, malgré les protections en place, nos ordinateurs publics étaient vulnérables à une attaque avec des keyloggers matériels. Ce piratage ayant sans nul doute fait pencher la balance, le Centre informatique a cherché à rétablir cet équilibre.

La parade contre les keyloggers matériels

Sans protection logicielle efficace contre les keyloggers matériels, la solution la plus drastique est de limiter l’accès physique à l’ensemble des ports USB. Cependant, nous ne souhaitons pas priver les étudiants UNIL de l’utilisation de clé USB sur nos ordinateurs publics. Nous avons donc cherché une solution permettant de verrouiller le câble du clavier sur l’ordinateur empêchant ainsi l’ajout d’un keylogger entre le clavier et la machine.

Après avoir testé plusieurs produits, nous avons trouvé une protection efficace verrouillant l’accès du clavier en ne limitant pas l’accès de tous les ports USB. Ce kit « anti-keylogger », composé d’une cage métallique et d’un verrou USB, occupe 2 ports.

Borne InternetUNIL équipée avec le nouveau kit de protection. Une cage métallique (pièce noire) verrouillée par une serrure (pièce rouge) empêche l’accès au port USB occupé par le clavier (câble blanc). Dorénavant, il est impossible de placer un keylogger matériel sans endommager visiblement l’équipement. Et un port reste libre pour les clés USB des étudiants.

Tous les ordinateurs publics sous la responsabilité du Centre informatique sont déjà équipés de ce dispositif de protection. Grâce ce kit, le Ci neutralise efficacement la menace des keyloggers matériels sur ses postes publics sans bloquer l’accès à la totalité des ports USB. Le fragile équilibre entre liberté et sécurité est désormais rétabli.

Nous encourageons tous les administrateurs de postes en libre accès des facultés à contacter la centrale d’achats du Ci pour acquérir ces kits anti-keyloggers et équiper leurs ordinateurs publics, si ce n’est pas déjà fait.

Nous recommandons également à la communauté universitaire de rester vigilante lors de l’utilisation d’ordinateurs publics et de suivre nos cours gratuits sur la sécurité informatique. Malgré cette nouvelle protection, le risque zéro n’existe malheureusement pas, mais il est possible de se prémunir efficacement contre ce type d’attaque en restant tous attentifs et informés.