Comment savoir si vous avez été piraté ?

 

 

On compte 18 victimes de cyberattaques par seconde30 000 sites web piratés par jour, 6000 nouveaux virus par mois, et 87 jours environ pour se rendre compte qu’on a été piraté.

Je ne pense plus avoir besoin de rappeler que les cybermenaces sont à prendre très au sérieux. Non seulement il faut être proactif et faire tout son possible pour éviter de se faire pirater, mais en plus il faut être réactif et savoir détecter immédiatement un problème. C’est l’objet de cet article.

savoir si je suis piraté

Voici d’abord certains signes qui doivent vous mettre la puce à l’oreille concernant un potentiel piratage.

Les signes directs

Ces signes doivent vous placer en situation d’urgence. Voici les principaux :

  • Compte soudainement inaccessible (en utilisant le mot de passe habituel)
  • E-mail de Hadopi sans avoir effectué de délit
  • Curseur de souris ou éléments graphiques qui bougent « tous seuls« 
  • Message direct du pirate ou du programme malveillant (ransomware)
  • Achats non autorisés et/ou inconnus via l’un de vos comptes bancaires
  • Activités inhabituelles sur un compte comme une publication en votre nom (ex: sur Facebook)

Les signes indirects

Ces signes ne sont pas forcément évidents à repérer et ne signifient pas forcément qu’il y a eu un piratage. Voici les principaux :

  • Accès suspect à un compte (e-mail d’alerte généré)
  • Ordinateur soudainement lent au démarrage
  • E-mails marqués comme lus sans les avoir lus
  • Clic sur un programme qui est sans effet ou débouche sur une erreur
  • Fichiers supprimés, déplacés, renommés

J’ai une anecdote à vous raconter à propos de l’e-mail signalant une « connexion suspecte » généré par Facebook.

En plein milieu de l’après-midi, alors que je n’étais pas sur mon ordinateur, j’ai reçu le mail suivant:

connexionsuspecte

Vous imaginez le stress que procure cet e-mail lorsque vous n’êtes pas sur votre ordinateur, que vous n’avez jamais été en Espagne et que vous ne connaissez personne de là-bas.

J’essaye donc de me rappeler du dernier endroit de connexion, et de ce que j’ai bien pu faire pour donner mon mot de passe si facilement, mais je ne trouve pas de pistes.

Puis je décide de vérifier que la proximité indiquée par Facebook est bien juste. En cliquant sur « Vérifier la connexion », je peux lire l’adresse IP. Je m’empresse de faire un traceroute pour voir si la connexion vient bien de l’Espagne. Et dès la résolution de l’adresse IP en nom d’hôte (nom d’une machine connectée à Internet), je découvre qu’il s’agit de l’adresse IP de l’Université de Strasbourgoù je me suis bien connecté le matin même, en France et à 2000 km d’Almeria !

Voici une preuve que la localisation de l’adresse IP n’est pas toujours précise, et voici également pourquoi vous obtenez parfois des lieux de connexion très loin de chez vous. Et c’est sans parler des connexions via 3G/4G/EDGE/etc avec votre smartphone qui passent par des adresses IP du fournisseur d’accès, donc dans d’autres villes que la vôtre.

Mon anecdote peut donc vous rassurer à ce niveau même si une connexion suspecte peut vraiment l’être, notamment si l’adresse IP vient bien d’une autre ville et que vous n’avez aucune raison de penser que c’est une connexion légitime.

Pour faire un traceroute sous Windows, effectuez la démarche suivante :

  • Appuyez simultanément sur les touches Windows et R.
  • Tapez « cmd.exe » puis sur Entrée.
  • Tapez « tracert <ADRESSE IP> »

Sous Linux, c’est la commande « traceroute » après avoir installé le paquet correspondant :

sudo apt-get install traceroute

Observez les chemins pris par les paquets (des informations sur les villes traversées s’affichent)

traceroute

Ici les paquets vont de Strasbourg à Amsterdam, l’adresse IP en question vient donc bien de Strasbourg.

 

Comment savoir si vous êtes piraté(e) en 6 étapes

Voici à présent 6 étapes d’investigation qui vont vous permettre de savoir de façon sûre si vous êtes piraté(e). Je vais faire une simulation d’exemple en même temps.

 

1. Observer l’activité réseau des programmes

Habituellement, un logiciel malveillant cherchera à communiquer avec l’extérieur, que ce soit pour recevoir des ordres ou envoyer des informations dérobées à distance.

Le problème c’est qu’énormément de logiciels communiquent eux aussi, et de façon légitime. Il nous faudra donc comprendre rapidement l’activité réseau et savoir extraire le contenu qui nous intéresse.

Pour cela, vous pouvez installer TcpView, et le lancer pour observer les programmes sur votre ordinateur qui communiquent avec l’extérieur :

unviruspotentiel

 

Visiblement, un programme qui semble être un virus vient de faire une connexion réseau avec l’adresse distante (Remote Address) suivante : 65.55.163.152.

En jetant un œil sur iplocation.net, on voit que l’adresse appartient à Microsoft :

microsoft

Mais qu’est-ce que Microsoft vient faire ici ?

En fait, dans la colonne « Remote Port », on distingue « smtp », c’est-à-dire que le programme en question vient d’envoyer un mail en utilisant probablement un compte Microsoft.

Il y a diverses raisons (malveillantes ou non) d’envoyer un mail, un keylogger pourrait par exemple envoyer vos informations personnelles à un pirate.

Plus d’informations ici :

 

2. Observer l’historique des fichiers téléchargés

C’est la première chose à faire si l’on suspecte un programme d’être à l’origine d’un piratage. L’historique des fichiers téléchargés est habituellement accessible via le navigateur web. Ce dernier retient normalement la date de téléchargement ainsi que l’endroit où le programme a été stocké sur l’ordinateur.

Si vous repérez un programme suspect, ne le supprimez pas immédiatement, mais scannez-le via VirusTotal et/ou Malwr :

Bingo, il s’agit bien d’un keylogger :

keyloggervirustotal

 

3. Pister un hacker

Les hackers, ou plutôt les « pirates informatiques » ne sont pas toujours aussi malins qu’on le croit.Certains utilisent les outils des autres sans même savoir comment ils fonctionnent. Cela nous arrange bien, car nous pouvons potentiellement retrouver l’auteur d’un programme malveillant, à condition d’avoir déjà identifié le programme en question.

En l’occurrence, nous pouvons y trouver les coordonnées du pirate…dans son propre programme.

Voici l’article qui en parle :

Pister un hacker

 

4. Observer les logs

Les logs sont des enregistrements automatiques de l’état de certains logiciels, ou du système. Par exemple, si un logiciel se met à planter, un message sera probablement écrit dans les logs indiquant l’heure du plantage et peut-être même la raison de celui-ci.

Les logs n’enregistrent pas que les messages d’erreur, mais contiennent d’autres informations importantes, comme l’heure de démarrage de l’ordinateur, les programmes installés, les programmes lancés…etc.

On peut donc, dans une certaine mesure, remontrer dans l’historique de l’ordinateur. J’ai déjà parlé plusieurs fois du programme qui fait cela très bien : LastActivityView.

Re-Bingo, il semble qu’un certain « virus potentiel » s’est lancé en même temps queFlashplayerplugin, environ 5 min après avoir démarré l’ordinateur :

lastactivityview prouve qu'on a été piraté

Loin de nous l’idée d’accuser Flash Player d’essayer de nous pirater, mais il semble plutôt qu’un programme malveillant se soit caché dans le plugin, si déjà il s’agit du vrai plugin Flash Player.

Plus d’informations :

L’antivirus ne sert à rien ?

 

5. Observer les processus

Il s’agit d’une façon directe, bien qu’assez compliquée pour un novice, d’observer les programmes lancés sur l’ordinateur à un instant donné. Ici, on a déjà repéré le nom du programme malveillant, mais on aurait très bien pu le faire via un gestionnaire des tâches. Je dis « Un » gestionnaire des tâches car il y en a plusieurs, et même si celui livré par défaut avec Windows suffit dans la plupart des cas, il existe des gestionnaires des tâches avancés comme Process Explorer. Le terme « avancé » fait référence aux fonctionnalités supplémentaires qu’apporte cet outil. On citera l’analyse directe avec VirusTotal, la vérification de signatures, l’affichage graphique plus agréable, ou encore les informations (très) détaillées de chaque processus.

Voici ce que l’on peut observer en affichant les propriétés du programme supposé être Flash Player Plugin :

fakeflash

Et voici à quoi ressemblent les propriétés d’un vrai programme Flash :

vraiflash

Notez que l’indication « Verified » indique que la signature du programme a été vérifiée. Le fait de signer des programmes exécutables est extrêmement utile. En somme, lorsque le programme est publié, l’éditeur le signe numériquement. Cette signature peut ensuite être vérifiée auprès d’une autorité. Et le moindre changement dans le programme invalide directement la signature, indiquant par la même occasion que le programme n’est pas authentique.

Plus d’informations :

Est-ce que ce processus est malveillant

 

6. Observer les programmes lancés au démarrage

Il s’agit de l’un des moyens les plus efficaces de détecter un logiciel malveillant. On aurait très bien pu le placer en premier, mais l’ordre ici n’a pas forcément d’importance. Les logiciels malveillants aiment se lancer à chaque démarrage de l’ordinateur. La raison est évidente : ils peuvent ainsi continuer leur activité indéfiniment car ils seront lancés automatiquement par le système d’exploitation lorsque vous démarrez votre ordinateur, sans même que vous n’ayez à toucher quoi que ce soit.

La façon la plus rapide d’afficher les programmes lancés au démarrage de votre ordinateur est d’ouvrir le gestionnaire des tâches de Windows, onglet « Démarrage » :

CTRL + MAJ + ECHAP

danslegestionnaire

Alors comme ça on se lance au démarrage de l’ordinateur sans permissions ? 

 

Notes importantes

Il s’agit bien entendu d’exemples donnés dans cet article. Chaque cas devrait être étudié séparément car il y a d’autres façons de se faire pirater que via un programme keylogger.

L’article ne prend pas en compte le cas des programmes appelés « rootkits« , qui permettent de cacher diverses informations des yeux des divers programmes de sécurité. On ne parle pas non plus du cas des écoutes téléphoniques ou des piratages hors du réseau internet.

Bien entendu, lancer un scan antivirus et faire preuve de bon sens sont de rigueur tout au long de vos recherches.

Plus d’informations :

 

Source : Logov2blog du hacker Le Blog du hacker

1 vote. Moyenne 5.00 sur 5.