Question:
Les données entre un clavier et un navigateur Web sont-elles protégées des applications informatiques locales?
Devil07
2019-01-15 00:33:49 UTC
view on stackexchange narkive permalink

Ma question concerne le texte que je saisis sur un clavier dans un navigateur Web. Je comprends que si le site Web utilise HTTPS, la connexion de mon navigateur au site Web est sécurisée / cryptée, mais qu'en est-il du texte que je tape sur le clavier de l'ordinateur local?

Par exemple, dans un cybercafé, si vous ouvrez une fenêtre Chrome et accédez à un site sécurisé (HTTPS), le texte que vous saisissez sur le clavier est-il sécurisé du clavier au navigateur? Le logiciel de journalisation des touches sur l'ordinateur local peut-il accéder au texte?

Ma préoccupation est de me connecter à mon compte de messagerie (ou à tout autre compte privé) sur un ordinateur public, le mot de passe que je saisis peut-il être intercepté? Si tel est le cas, y a-t-il un moyen pour un utilisateur d'un ordinateur public d'assurer la confidentialité de son mot de passe dans ce scénario?

Si vous êtes trop préoccupé par la journalisation des touches, ouvrez une page Wikipédia, puis copiez et collez tous les caractères dont vous avez besoin pour vous connecter ... mais encore une fois, le presse-papiers est peut-être également enregistré!
@daygoor même si le * presse-papiers * n'est pas enregistré, je m'attendrais à ce qu'un enregistreur de frappe sur la machine elle-même puisse dire que vous avez mis en évidence et très probablement également copié les caractères individuels.Ainsi, dans un journal, vous pouvez voir `mettre en évidence" h "` -> `Ctrl + C` ->` mettre en évidence "u" `->` Ctrl + C` -> `mettre en évidence" n "` -> `Ctrl + C`-> `mettre en évidence" t "` -> `Ctrl + C` ->` mettre en évidence "e" `->` Ctrl + C` -> `mettre en évidence" r "` -> `Ctrl + C` ->` mettre en évidence "2 "` -> `Ctrl + C` ou quelque chose de suffisamment similaire à celui-ci.Même si vous faites un clic droit -> copier, je suppose qu'un enregistreur de frappe le note.
Cela dépend fortement du système d'exploitation utilisé - en particulier dans quelle mesure il isole les applications individuelles (les unes des autres et des composants partagés comme le clavier) et dans quelle mesure il aide à appliquer les droits d'accès corrects.--- Même si le système d'exploitation isole parfaitement les applications, il existe des vulnérabilités ou des erreurs de configuration possibles permettant un accès non autorisé.
@pabouk c'est beaucoup de variables dont vous pouvez difficilement tenir compte.Bien sûr, vous ne pouvez même pas prouver ou réfuter (facilement) l'existence, la sophistication et le mode de fonctionnement d'un keylogger, mais s'il n'est pas fiable, une machine étrangère doit être considérée comme absolument compromise.Cela réduit les hypothèses et les possibilités dont vous devez tenir compte lorsque vous décidez comment le gérer.Avec cette configuration à l'esprit, copier / coller des caractères d'un document n'est pas du tout sûr et cette idée fausse ne doit pas être perpétuée.
Eh bien, [ce xkcd] (https://xkcd.com/538/) est particulièrement adapté à ce cas je pense ...
@frarugi87 Je ne suis pas d'accord pour cet exemple.Il peut y avoir beaucoup de collecte de données qui sont totalement viables à collecter à partir d'un PC public.Un mot de passe Facebook est très susceptible d'être attrapé, ce qui ... peut avoir une certaine valeur, ou non.Mais plus important encore, un attaquant peut être en mesure de collecter des informations telles que les détails de paiement.Et l'attaquant n'a pas besoin d'être le propriétaire de l'ordinateur public - il peut s'agir de * n'importe qui * qui y a accès et qui décide de l'utiliser pour récolter des données.Les PC publics n'ont pas tendance à avoir un cryptage 4096 mais RSA.Il peut même être infecté sur Internet sans qu'il soit spécifiquement ciblé.
@vlaz Oui, j'ai été un peu rapide dans le commentaire, et j'ai donc sauté beaucoup de détails sur le "pourquoi", j'ai pensé que c'était fait pour cela.Mon commentaire portait sur "l'escalade" des mesures énumérées ici.d'un keylogger de base qui capture les touches que vous écrivez à un qui traque toute votre activité et la corrèle pour extraire le mot de passe que vous avez entré comme un mélange de copier-coller, de mouvements de souris et de frappe directe.C'est techniquement possible, tout comme essayer de pirater le PC dans la bande dessinée xkcd, mais à mon avis personnel, personne ne perdrait de temps à rassembler quelques mots de passe de plus (pour les "Nigérians [...]
[...] prince arnaque pour les mêmes raisons).Dans tous les cas, à mon avis, la complexité d'un keylogger dans un pc public n'est pas pertinente.Je considère toutes les données que j'échange sur un terminal public comme publiques, et donc chaque fois que je veux accéder à un service, je ne veux pas être compromis, j'utilise uniquement des terminaux privés sur des réseaux privés
@frarugi87 est-ce un keylogger sophistiqué?J'avoue, je n'ai joué qu'avec un seul que j'ai installé sur ma machine pour voir ce qu'il a fait.C'est mon premier et mon dernier et il a enregistré ce type d'informations, y compris la fenêtre sur laquelle vous avez cliqué lorsque vous appuyez sur n'importe quelle touche et même le champ ou le bouton avec lequel vous interagissez.Ainsi, vous saurez si vous avez basculé entre l'onglet Firefox et Wikipédia, puis saisissez le champ mot de passe d'une application bancaire.Il pourrait envoyer ces informations par e-mail ou simplement les vider.C'était il y a 15 ans - je doute que les enregistreurs de frappe soient devenus moins sophistiqués depuis lors.
@vlaz que faire si mon pw est ´ertn2hu´ pas ´hunter2´?:)
non, sauf si vous disposez d'un AVP qui détecte les signatures communes des moyens de capturer les entrées clavier.Fin de question
Notez que votre navigateur est une application informatique locale.
Ce que je retiens, c'est que MFA peut protéger mes comptes personnels, mais je ne peux rien faire sur un ordinateur public non approuvé pour m'assurer que mon nom d'utilisateur / mot de passe n'est pas capturé.En outre, toutes les informations affichées dans la fenêtre du navigateur HTTPS sur l'ordinateur non approuvé peuvent également être capturées / enregistrées par l'ordinateur local.
Si vous êtes préoccupé par la sécurité, n'utilisez pas de cybercafé.Le mieux est d'obtenir un forfait sans fil et de l'utiliser.Tout ce qui est électronique génère un rayonnement électromagnétique.Il y a des gens avec le bon équipement qui peuvent détecter les signaux électriques en appuyant sur différentes touches.Vous devez déterminer la valeur de vos données et les protéger pour ce qu'elles valent.
@Devil07: Rappelez-vous toujours: si vous êtes sur un appareil non approuvé, vous ne pouvez même pas avoir confiance que le logiciel que vous pensez utiliser est en fait le logiciel que vous utilisez.Comment pouvez-vous garantir que lorsque vous ouvrez "chrome", vous n'ouvrez pas réellement mon binaire modifié de Chrome qui ne fait aucune vérification de certificat et exécute une attaque MITM sur chaque client?La réponse courte est que vous ne pouvez pas, car tout sur l'appareil pourrait être compromis.
Meilleur résumé de tout cela - Les deux niveaux de sécurité les plus importants sont ceux qui ont un accès physique à l'appareil et qui a un accès administratif à l'appareil.Si la réponse à l'une de ces questions inclut une personne en qui vous ne faites pas confiance, vous pouvez considérer que toute utilisation de l'appareil est potentiellement compromise.
Six réponses:
bashCypher
2019-01-15 01:45:13 UTC
view on stackexchange narkive permalink

Non, vos données ne sont pas protégées des enregistreurs de frappe sur un ordinateur local. Il n'y a pas grand-chose à dire ici, pour être honnête. Un enregistreur de frappe saisira et enregistrera tout coup de clé entré. Le cryptage tls (https) se produit "après" que le pilote du clavier "envoie" ces touches au navigateur, "via" l'enregistreur de frappe.

Même si le cryptage est utilisé et qu'il n'y en a pas de nombreux types de logiciels espions sur l'ordinateur, la connexion entre l'ordinateur et le site peut avoir un appareil Man in The Middle (MiTM) entre lequel fait croire à votre ordinateur qu'il utilise le cryptage alors que ce n'est pas le cas.

Bonne question . Oui, sur un kiosque public, vous courez le risque de récolter des informations d'identification. Je ne peux penser à rien qui contournerait le logiciel d'enregistrement de frappe (le VPN résoudra les problèmes de MiTM). Attention.

C'est pire que cela: sur n'importe quel ordinateur que vous ne contrôlez pas, les certificats CA utilisés pour vérifier l'identité des serveurs peuvent avoir été compromis.Vous ne parlez donc peut-être pas au site Web que vous pensez être, même si vous utilisez HTTPS.Ne faites pas confiance aux ordinateurs publics.
@z0r MITM utilisant le stripping TLS est une préoccupation dans le monde entier.Soyez toujours prudent en public, non?MITM est un peu différent de ce que vous décrivez, mais votre point est valide et je n'ai pas discuté de la partie "interception".Je vais mettre à jour.
L'authentification multifacteur est l'atténuation pour cela, n'est-ce pas?
@mgarciaisaia sur un kiosque public?Je suppose que nous pourrions parler de la sécurisation du kiosque et de la sécurité de l'application ... mais je pense que le fait est que nous ne pouvons pas faire confiance au kiosque.La question est donc la suivante: pouvez-vous utiliser le navigateur Web en toute sécurité, sinon, pouvez-vous faire quelque chose?Dans ce cas, je ne pense pas que "configurer multifactoriel avec les propriétaires de kiosques et que cela s'applique à toutes les applications pour éviter les applications non enregistrées (key logger)" est raisonnable?Est-ce juste?
Si vous utilisez un ordinateur tiers pour vous connecter à votre messagerie électronique, la ligne de défense ultime contre une autre personne se connectant à votre compte consiste à utiliser MFA.Même s'ils enregistrent au clavier votre jeton MFA, il devrait être inutile pour eux d'accéder à votre compte.
Votre mot de passe est compromis, oui, mais pas votre compte.
Certains services (exemple: WeChat) proposent des méthodes d'authentification précisément pour ce cas d'utilisation.Lorsque vous essayez d'accéder au service sur un terminal public, il affiche un code QR.Vous scannez le code avec votre téléphone (qui utilise vraisemblablement une connexion sécurisée) et le chemin d'authentification se produit via votre téléphone.Une fois que vous avez vérifié (à l'aide de votre téléphone) que vous souhaitez que l'accès à la session soit accordé, la session du terminal public reçoit une notification et vous pouvez y accéder à votre compte.Un terminal malveillant pourrait lire tous vos messages, mais au moins il ne compromet pas votre compte.
@mgarciaisaia cela dépend de la nature du compromis.S'il s'agissait d'un simple keylogger, alors oui, vous pourriez être protégé par 2FA (bien que certains d'entre eux permettent de revenir à des paramètres moins sécurisés!).Cependant, si le malware sur le kiosque public est un peu plus intelligent, il pourrait faire beaucoup de dégâts.Par exemple, lorsque vous cliquez sur "déconnexion", il peut vous montrer un faux écran indiquant que vous êtes déconnecté, alors qu'en réalité, il ne vous a pas déconnecté et est en arrière-plan en train de faire des choses dans votre compte, comme configurer le transfert de tous les e-mails quelque part,modification des paramètres de récupération, etc.
Le décapage @bashCypher TLS n'est qu'une tangente (et évité sur de nombreux sites majeurs avec HSTS).Le vrai problème avec l'utilisation du navigateur de quelqu'un d'autre, c'est qu'il peut le configurer pour accepter sa propre autorité de certification personnalisée, émettant ses propres certificats pour TLS MITM transparent.
@mgarciaisaia: Even MFA n'offre qu'une protection très limitée.Cela empêche les autres de réutiliser vos informations d'identification, mais ils contrôlent toujours la session que vous avez ouverte.Ainsi, même s'ils ne peuvent pas se connecter en tant que vous à votre banque en ligne, ils peuvent vider votre compte lorsque vous êtes en ligne.La seule protection significative que je connaisse sur un ordinateur non fiable est l'autorisation de _transaction_ hors ligne, telle que fournie par ex.générateurs TAN intelligents hors ligne, qui vous permettent de voir et de confirmer chaque transaction.
@Will: Juste pour pinailler - HSTS ne fonctionne pas si le navigateur n'est pas approuvé, car le navigateur doit l'appliquer.Si vous pouvez manipuler la liste des certificats, vous pouvez également patcher le navigateur pour ignorer HSTS (ou simplement enregistrer tout le trafic HTTPS) :-).Bien sûr, cela se résume à: Non approuvé n'est pas approuvé.
@sleske N'a pas besoin d'être hors ligne, n'importe quel canal de communication secondaire pour l'autorisation de transcation (ou toute modification vraiment) fera l'affaire.Le SMS - le plus couramment utilisé - le fera aussi bien qu'un générateur TAN hors ligne (bien que ce dernier ait d'autres avantages de sécurité importants).
Vous coooouuulld redémarrer le PC et démarrer à partir d'une clé USB ... lol
@nardnob: Un mot: keylogger matériel (ok, deux mots).
@sleske D'accord, j'ai une solution, mais cela va nécessiter un tournevis et une carte mère de remplacement
@MatijaNalis Pas vraiment.Évidemment, après vous être connecté à un système non approuvé, vous devez vérifier les sessions actives à partir d'un appareil de confiance, ce qui signifie que même si elles le font, leur session ne durera pas longtemps ... La modification des paramètres de récupération, etc. ne devrait pas être possible sans avoir à refaire l'étape 2FA avec un autretoken (si ce n'est pas le cas, il est mal conçu).
@GiacomoAlzetta au moment où vous obtenez un appareil de confiance (cela peut prendre des semaines si vous voyagez - si vous ne disposez pas d'un appareil de confiance pendant seulement quelques minutes, voire quelques heures, vous pourriez très bien attendre et ne pas utiliser l'appareil public vulnérable dans lepremière place!) l'attaquant a peut-être utilisé ce compte pour compromettre vos autres comptes, obtenir des données sensibles, usurper votre identité, etc. Même les gros joueurs (comme google, paypal, ebay, ...) n'ont pas besoin de 2FA différents pour modifier les paramètres 2FAet utiliser le même 2FA est vulnérable à de nombreuses attaques - dire qu'il est "mal conçu" n'aide pas vraiment
Macil
2019-01-15 06:13:01 UTC
view on stackexchange narkive permalink

HTTPS ne peut pas complètement protéger votre entrée utilisateur sur un ordinateur non fiable: l'ordinateur peut avoir un logiciel de keylogger installé. Le clavier peut avoir un micrologiciel programmé pour vous enregistrer au clavier. Il peut y avoir un périphérique matériel entre l'ordinateur et les pressions sur les touches du clavier. Un logiciel d'enregistrement d'écran peut être en cours d'exécution. Une caméra vidéo peut être pointée vers le clavier pendant que vous l'utilisez. L'ordinateur peut être configuré pour faire entièrement confiance à un proxy réseau qui agit comme un intermédiaire pour toutes les connexions HTTP et HTTPS.

… L'ordinateur peut exécuter un logiciel qui ressemble à un navigateur avec un site Web pour vous, mais qui n'accède même à aucun réseau.
iBug
2019-01-15 21:23:55 UTC
view on stackexchange narkive permalink

Comme indiqué dans d'autres réponses, HTTPS ne protège que la partie transmission de la communication, entre votre ordinateur (navigateur) et le serveur distant. Tout ce qui se trouve entre l'utilisateur (humain) et le navigateur est vulnérable aux attaquants.

Même si le clavier est sécurisé entre le navigateur, une caméra (à l'extérieur de l'ordinateur) pourrait capturer une vidéo de la saisie du mot de passe - qui n'a même rien à voir avec HTTPS.

Les actions parlent plus que les mots.

Il y a longtemps, j'avais 15 ans, j'ai écrit un simple enregistreur de frappe qui est capable d'enregistrer presque tout. Il a néanmoins réussi à voler beaucoup de mots de passe, y compris ceux entrés dans une page HTTPS.

Lien: Mon dépôt GitHub du programme d'enregistrement de frappe susmentionné.

Daniel777
2019-01-16 21:04:22 UTC
view on stackexchange narkive permalink

Solution de contournement: pour contourner le logiciel d'enregistrement de frappe, vous pouvez dessiner un clavier à l'écran et demander à l'utilisateur de cliquer sur les touches de ce clavier à l'aide d'une souris ou d'une boule de commande (ces données seraient très difficiles à enregistrer). Bien sûr, cela peut être fatigant pour les utilisateurs, vous voudrez peut-être l'utiliser uniquement pour taper des mots de passe ou de petits textes.

Cela ne répond pas à la question.L'utilisateur entre un mot de passe dans une page Web sur laquelle il n'a aucun contrôle.
@Daniel777 J'avais en fait un compte bancaire qui avait un mot de passe et un code PIN qui était entré en utilisant la souris pour cliquer sur les chiffres sur un pavé numérique dessiné.Cela semblait être un bon moyen de sécuriser l'accès, mais je pense que les gens n'aimaient pas cela, alors ils l'ont supprimé.
[Pas nécessairement efficace] (https://security.stackexchange.com/a/172136).
user996142
2019-01-16 03:07:55 UTC
view on stackexchange narkive permalink

Tout ce que vous tapez sur le clavier est traité par un logiciel qui fait partie de votre système d'exploitation. Cela peut être le noyau lui-même, ses modules ou ses pilotes. Ce logiciel décode vos frappes et les délivre à l'application (navigateur dans ce cas).

De nombreux systèmes d'exploitation fournissent une API pour "injecter" des logiciels tiers dans ce processus. Bien sûr, le système d'exploitation moderne ne permet pas à tout le monde de faire cela: vous devez avoir les droits appropriés, sinon il ne vous permettra pas de lire les clés cliquées par un autre utilisateur travaillant sur la même machine.

Mais si quelqu'un avec des droits suffisants a installé un tel logiciel, il peut avoir accès à vos clés. Pire encore: si le système d'exploitation a un bogue, le pirate peut "contourner" cette vérification et installer un tel logiciel. Un exemple est le keylogger: il enregistre littéralement toutes les frappes au clavier.

Sur un ordinateur public, vous ne pouvez pas être sûr qu'aucun keylogger n'est installé car vous n'êtes pas celui qui a installé ce système d'exploitation, votre compte ne le fait pas avoir des droits d'administrateur, donc vous ne pouvez même pas vérifier ce qui est en cours d'exécution sur cet ordinateur.

Utilisez l'authentification en deux phases: avec elle, le serveur vous enverra un message texte avec code, vous ne pourrez donc accéder à votre messagerie avoir accès à votre téléphone mobile.

L'authentification par mot de passe uniquement n'est pas sûre sur les ordinateurs publics.

KOLANICH
2019-01-17 02:55:52 UTC
view on stackexchange narkive permalink

Certaines solutions anti-programme malveillant ont une fonction protégeant la saisie au clavier avec un pilote en mode noyau, mais ne pensez pas qu'elle soit incassable: si un logiciel malveillant parvient à exécuter son propre code en mode noyau, le pilote AV ne peut pas protéger le contenu, tout dans le noyau le mode est également privilégié.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...