Plus tôt cette semaine, l’Université Concordia a fait une annonce importante à ses élèves et à son personnel sur son site Internet:
Des périphériques matériels appelés enregistreurs de frappe, qui peuvent capter la frappe des touches d’un ordinateur, ont récemment été découverts sur certains postes de travail debout situés dans les bibliothèques R.-Howard-Webster et Vanier de l’Université Concordia.
L’Université recommande à tous les utilisateurs qui ont utilisé ces ordinateurs depuis la dernière année de;
- de modifier le mot de passe associé à votre nom d’utilisateur à Concordia, et ce, sur votre propre appareil ou sur un appareil privé (ordinateur, tablette ou téléphone cellulaire); pour ce faire, ouvrez une session dans MyConcordia, suivez les instructions fournies à la page d’accueil puis redémarrez votre ordinateur;
- de modifier les mots de passe de vos autres comptes, surtout si vous avez effectué des opérations bancaires en ligne sur les postes de travail debout;
- de vérifier attentivement vos comptes et vos relevés de banque et de carte de crédit, et de signaler toute opération suspecte à votre banque ou à votre institution financière.
L’équipe de Crypto.québec tient à rapeller que ces recommandations sont extrêmement importantes.
Si vous avez utilisé spécifiquement ces ordinateurs au cours de la dernière année pour effectuer des transactions quelconques, se connecter à des comptes courriels ou médias sociaux, voire même pour avoir des discussions de nature personnelle ou confidentielle, les chances sont très fortes que vos informations personnelles ont été compromises. Il est impératif pour vous de changer vos mots de passe et d’avertir les autres personnes qui pourraient être concernées par cette situation.
Concordia tient cependant à souligner que:
L’Université a réagi en lançant une enquête approfondie comprenant l’inspection de tous les postes de travail informatiques publics des deux campus. Nous avons également avisé le Service de police de la Ville de Montréal (SPVM).
De plus, dans l’article disponible sur le site de l’Université, des indications sont données quant aux ressources à contacter en cas de fraude.
Qu’est-ce qu’un « enregistreur de frappe »?
Un « enregistreur de frappe » (ou « keyloggers » en anglais) est un outil qui permet d’enregistrer toutes les touches qui sont entrées sur un clavier ou sur une souris.
Il y existe différents genres d' »enregistreurs de frappe », les plus fréquents étant ceux « matériels » ou « logiciels ».
Les « enregistreurs de frappe matériels » sont des petits dispositifs qui s’installent généralement entre la souris/le clavier et l’ordinateur, ou le récepteur Bluetooth et l’ordinateur. Ce qui est tapé ou cliqué est automatiquement enregistré et habituellement peut-être accédé par la personne qui connait le mot de passe à entrer pour accéder au fichier ayant enregistré les données. Les données peuvent également être transmises par courriel automatiquement chaque jour de manière « secrète » sans que l’utilisateur ne se rende compte de quoi que ce soit.
L’installation d’un « enregistreur de frappe matériel » est souvent préférée par les individus au dessein lugubre, car ils ne demandent pas d’avoir un accès administrateur à l’ordinateur. Ils demandent uniquement d’avoir un accès physique au dispositif pour y installer le matériel. Le temps d’installation prend quelques secondes. La manière de la détecter est généralement uniquement l’inspection visuelle des dispositifs.
Voici d’ailleurs l’image qui a été fournie sur le site de l’Université Concordia.
Les « enregistreurs de frappe logiciels » sont des logiciels qui sont installés sur l’ordinateur d’une personne, soit à partir de l’ordinateur directement, ou à distance, suite à une faille dans la sécurité de son système. Les logiciels peuvent généralement laisser plus de traces lors de l’installation et de l’activation. Ils peuvent cependant devenir très discrets et peuvent ne jamais être détectés par la personne qui ne sait pas bien comment les détecter. Ils vont par la suite transmettre toute l’information à son propriétaire, par courriel ou autre système, et peuvent même transmettre des captures d’écrans, ou de vidéos.
Cependant, pour les installer, il faut souvent avoir un accès administrateur à l’ordinateur, ce qui peut demande de prendre plus de risques.
L’Université du Québec à Montréal a pris les devants, ce jeudi 24 mars, et a envoyé un courriel à l’intention de ces étudiants. Ce courriel est disponible ici.
Quoi faire pour empêcher ce genre de situation?
Il y a très peu de manière technologiques de contrer ce genre de « piratage ».
Une examination visuelle des périphériques d’utilisation du poste est nécessaire pour détecter ce genre de matériel espion. Il est à l’avantage de tous les utilisateurs d’ordinateurs publics (ou physiquement facile d’accès, telles que les secrétaires, les commis, etc.) de garder l’oeil ouvert et d’inspecter préalablement à l’utilisation le poste sur lequel ils s’apprêtent à travailler.
Évidemment, ce genre de dispositifs, de plus en plus accessibles pour tous, devient un problème sérieux pour les institutions ayant à travailler avec des données privées et sensibles. Le service de sécurité des universités du Québec auraient dû songer à ce genre de situation et mettre en place à l’avance des méthodes pour prévenir ce genre de pratique, largement connue dans le milieu de la sécurité. Nous espérons que celles-ci modifierons les postes en place pour empêcher ce genre de pratique à l’avenir.
En conclusion
L’équipe de Crypto.québec aimerait remercier Mohamed Amine, étudiant à l’École des sciences de la gestion (ESG) de l’UQÀM de nous avoir informé de la situation.
Dans son courriel, celui-ci nous indique que
Cette situation est très inquiétante. En tant qu’étudiant à l’Université du Québec, la confiance est remise en doute quant à la sécurité informatique des étudiants et étudiantes ayant recours aux services informatiques de l’UQÀM et des campus universitaires au Québec.
Nous sommes d’accord. Surtout connaissant le scandale des primes de départ de l’Université Concordia. Il me semble qu’un petit investissement en sécurité informatique ne leur ferait pas de mal.