Les données entre un clavier et un navigateur Web sont-elles protégées contre les applications informatiques locales?
Ma question concerne le texte que je tape sur un clavier dans un navigateur Web. Je comprends que si le site Web a HTTPS, la connexion de mon navigateur au site Web est sécurisée/cryptée, mais qu'en est-il du texte que je tape sur le clavier de l'ordinateur local?
Par exemple, dans un cybercafé, si vous ouvrez une fenêtre Chrome et accédez à un site sécurisé (HTTPS), le texte que vous saisissez sur le clavier est-il sécurisé du clavier au navigateur? logiciel d'enregistrement des clés sur l'ordinateur local accéder au texte?
Ma préoccupation est de me connecter à mon compte de messagerie (ou à tout autre compte privé) sur un ordinateur public, le mot de passe que je tape peut-il être intercepté? Dans l'affirmative, existe-t-il un moyen pour un utilisateur d'un ordinateur public de garantir la confidentialité de son mot de passe dans ce scénario?
Non, vos données ne sont pas à l'abri des enregistreurs de frappe sur un ordinateur local. Il n'y a pas grand chose de plus à dire ici, pour être juste. Un enregistreur de frappe saisira et enregistrera tout coup de clé entré. Le cryptage tls (https) se produit "après" que le pilote du clavier "envoie" ces frappes au navigateur "," via "l'enregistreur de touches.
Même si le cryptage est utilisé et qu'il n'y a pas beaucoup de types de logiciels espions sur l'ordinateur, la connexion entre l'ordinateur et le site peut avoir un appareil Man in The Middle (MiTM) entre les deux qui incite votre ordinateur à penser qu'il utilise le cryptage lorsque ce n'est pas.
Bonne question. Oui, sur un kiosque public, vous courez le risque de récolter des informations d'identification. Je ne peux penser à rien qui contournerait le logiciel de keylogging (le VPN résoudra les problèmes MiTM). Il faut se méfier.
HTTPS ne peut éventuellement pas protéger complètement vos entrées utilisateur sur un ordinateur non fiable: l'ordinateur peut avoir un logiciel enregistreur de frappe installé. Le clavier peut avoir un firmware programmé pour vous enregistrer. Il pourrait y avoir un périphérique matériel entre l'ordinateur et les touches du clavier d'enregistrement. Il pourrait y avoir un logiciel d'enregistrement d'écran en cours d'exécution. Il pourrait y avoir une caméra vidéo pointée sur le clavier pendant que vous l'utilisez. L'ordinateur peut être configuré pour faire entièrement confiance à un proxy réseau qui agit en tant qu'intermédiaire pour toutes les connexions HTTP et HTTPS.
Comme indiqué dans d'autres réponses, HTTPS protège uniquement la partie de transmission de la communication, entre votre ordinateur (navigateur) et le serveur distant. Tout ce qui se trouve entre l'utilisateur (humain) et le navigateur est vulnérable aux attaquants.
Même si le clavier est sécurisé entre le navigateur, une caméra (en dehors de l'ordinateur) pourrait capturer une vidéo de vous en entrant le mot de passe - cela n'a rien à voir avec le HTTPS.
L'action a plus de poids que les mots.
Il y a longtemps, quand j'avais 15 ans, j'ai écrit un enregistreur de frappe simple qui peut enregistrer presque tout. Il a néanmoins réussi à voler de nombreux mots de passe, y compris ceux entrés dans une page HTTPS.
Lien: Mon dépôt GitHub du programme d'enregistreur de clés susmentionné.
Solution: pour contourner le logiciel d'enregistrement de touches, vous pouvez dessiner un clavier à l'écran et demander à l'utilisateur de cliquer sur les touches de ce clavier à l'aide d'une souris ou d'une boule de commande (ces données seraient très difficiles à enregistrer). Bien sûr, cela peut être fatigant pour les utilisateurs, vous pouvez donc ne l'utiliser que pour taper des mots de passe ou de petits textes.
Tout ce que vous tapez sur le clavier est traité par un logiciel qui fait partie de votre système d'exploitation. Il peut s'agir du noyau lui-même, de modules ou de pilotes. Ce logiciel décode vos frappes et les livre à l'application (navigateur dans ce cas).
De nombreux systèmes d'exploitation fournissent une API pour "injecter" des logiciels tiers dans ce processus. Bien sûr, le système d'exploitation moderne ne permet pas à tout le monde de le faire: vous devez avoir les droits appropriés, ou il ne vous permettra pas de lire les touches cliquées par un autre utilisateur travaillant sur la même machine.
Mais si quelqu'un avec des droits suffisants a installé un tel logiciel, il peut avoir accès à vos clés. Pire encore: si le système d'exploitation a un bogue, le pirate peut "contourner" cette vérification et installer un tel logiciel. Un exemple en est le keylogger: il enregistre littéralement toutes les frappes.
Sur un ordinateur public, vous ne pouvez pas être sûr qu'aucun enregistreur de frappe n'est installé parce que vous n'êtes pas celui qui a installé ce système d'exploitation, votre compte n'a pas de droits d'administrateur, vous ne pouvez donc même pas vérifier ce qui fonctionne sur cet ordinateur.
Utilisez l'authentification en deux phases: avec lui, le serveur vous enverra un message texte avec un code, vous ne pourrez donc accéder à votre messagerie que si vous avez accès à votre téléphone mobile.
L'authentification par mot de passe uniquement n'est pas sécurisée sur les ordinateurs publics.
Certaines solutions anti-programme malveillant ont une fonctionnalité protégeant l'entrée du clavier avec un pilote en mode noyau, mais ne pense pas qu'elle soit incassable: si un logiciel malveillant parvient à exécuter son propre code en mode noyau, le pilote AV ne peut pas protéger les choses, tout en mode noyau est également privilégié.