En regardant l'émission Capital sur M6, concernant l'espionnage dans le cadre du travail (sujet toujours intéressant... :) ) j'ai repéré qu'il était question apparemment de l'outil Revealer Keylogger.
J'ai voulu vérifier... et effectivement, un logiciel éponyme existe : http://www.logixoft.com/fr-fr/index On remarquera que la version payante propose des fonctions supplémentaires (http://www.logixoft.com/fr-fr/free-keylogger-download), proches du rootkit dans le principe : invisibilité dans le Gestionnaire des tâches, invisibilité dans l'Explorateur Windows (et non pas "sur le disque", à mon avis...), invisibilité dans les modules de démarrage (à vérifier quand même avec un Autoruns, mais soit).
Un doute me prend quant à la détection antivirale... Ouf, au moins, Windows Defender sous Windows 7 le détecte en natif ! (malheureusement, sous XP, par exemple, cela ne se produira pas par défaut).
Voici ce que VirusTotal dit (https://www.virustotal.com/fr/file/f20f231ce7c5ec7a0c0ac285f50e4cffe5846a2b3ad77bbe1e8eaff7739faad0/analysis/1370203333/) :
SHA256: | f20f231ce7c5ec7a0c0ac285f50e4cffe5846a2b3ad77bbe1e8eaff7739faad0 |
Nom du fichier : | rvlkl.exe |
Ratio de détection : | 6 / 45 |
Date d'analyse : | 2013-06-02 20:02:13 UTC (il y a 1 minute) |
Agnitum | 20130602 | |
AhnLab-V3 | 20130602 | |
AntiVir | 20130602 | |
Antiy-AVL | 20130602 | |
Avast | 20130602 | |
AVG | 20130602 | |
BitDefender | 20130602 | |
ByteHero | 20130529 | |
CAT-QuickHeal | 20130531 | |
ClamAV | 20130602 | |
Commtouch | 20130601 | |
Comodo | 20130602 | |
DrWeb | 20130602 | |
Emsisoft | Win64/KeyLogger.RevealerKeylogger.AMN (A) | 20130602 |
eSafe | 20130530 | |
ESET-NOD32 | a variant of Win64/KeyLogger.RevealerKeylogger.NAA | 20130602 |
F-Prot | 20130601 | |
F-Secure | 20130602 | |
Fortinet | 20130602 | |
GData | 20130602 | |
Ikarus | 20130602 | |
Jiangmin | 20130602 | |
K7AntiVirus | 20130531 | |
K7GW | 20130531 | |
Kaspersky | 20130602 | |
Kingsoft | 20130506 | |
Malwarebytes | Keylogger.Logixoft | 20130602 |
McAfee | 20130602 | |
McAfee-GW-Edition | 20130602 | |
Microsoft | MonitoringTool:Win32/RevealerKeylogger | 20130602 |
MicroWorld-eScan | 20130602 | |
NANO-Antivirus | 20130602 | |
Norman | 20130602 | |
nProtect | 20130602 | |
Panda | Suspicious file | 20130602 |
PCTools | 20130521 | |
Rising | 20130531 | |
Sophos | 20130602 | |
SUPERAntiSpyware | 20130602 | |
Symantec | 20130602 | |
TheHacker | 20130601 | |
TotalDefense | 20130602 | |
TrendMicro | 20130602 | |
TrendMicro-HouseCall | TROJ_GEN.F47V0526 | 20130602 |
VBA32 | 20130531 | |
VIPRE | 20130602 | |
ViRobot | 20130602 |
En d'autres termes, des solutions antivirus très courantes en entreprise, comme McAfee, Symantec, Sophos, et même Trend dans une certaine mesure, ne voient rien... D'autres solutions, répandues dans le grand public, comme AVAST ou Antivir, ne voient rien non plus :( Autrement dit, la discrétion peut être réelle pour une personne non sensibilisée (voire même à l'insu des administrateurs du parc, qui feront confiance à l'antivirus de la machine !).
Pour ceux qui ont un doute, je recommanderais de lancer un scan avec par exemple Windows Defender Offline (http://windows.microsoft.com/fr-fr/windows/what-is-windows-defender-offline), ou le CD de ESET.
Merci néanmoins à Capital pour avoir tenté de sensibiliser le public sur le sujet, et avec des cas visiblement réalistes !