Un cas d'école

Une dame de ma connaissance, appelons-la Suzette, s'est fait voler plus de 3000 Fr/Euros suite au téléphone d'une inconnue ne parlant même pas français. Voici comment.

MARDI 14 MARS

08h00 (environ)

Le téléphone fixe sonne, Suzette répond. Une dame lui parle à moitié dans un français incompréhensible et à moitié en anglais (pas terrible non plus). Elle dit son nom et celui de son entreprise mais Suzette ne comprend rien. Elle a tout de même compris que la dame doit intervenir sur son PC car il a un bug qu'elle doit réparer, c'est la raison de son appel. C'est une chance (si on veut) car le PC de Suzette affiche de plus en plus souvent qu'il est lent et qu'il faut y corriger quelque chose.

En fait c'est Avast, l'antivirus gratuit qui est installé sur son PC, qui tente de lui faire acheter la version payante de ce soft. C'est de bonne guerre, c'est du marketing, mais je n'arrête pas de dire à mes clients que cela ne sert à rien d'acheter une version payante, la version gratuite est tout à fait suffisante.

La dame lui propose alors d'utiliser le traducteur en ligne de Google pour se faire comprendre. Il faut pour cela qu'elle puisse accéder au PC de Suzette. Elle lui fait lors installer le logiciel Supremo "Contrôle de bureau à distance facile et rapide" qui permet de prendre la main à distance. Suzette suit les instructions de la dame et à 8h41 Supremo est installé. Après échange du code et acceptation de la connexion, elle  voit le curseur de sa souris se déplacer tout seul sur son écran, la dame a pris la main. Le navigateur se met en route et la page de traduction de Google apparaît.

08h41 A ce moment, elle peut lire la traduction en français du texte que la dame écrit en anglais.

Erreur funeste, Suzette n'aurait jamais dû accepter d'installer Supremo sur son PC car maintenant la dame y est comme chez elle et peut y faire ce qu'elle veut, ce dont elle ne se prive pas. Il ne faut jamais laisser un inconnu prendre la main sur son PC car c'est lui livrer son contenu en libre-service.

Le curseur s'agite en tous sens, des pages s'ouvrent et se ferment, Suzette n'a pas le temps de voir de quoi il s'agit, d'autant plus qu'elle n'y comprend rien en informatique. La dame lui explique qu'elle inspecte le PC pour voir ce qui doit être réparé (en fait pour voir ce qu'il y a à voler...). Au passage elle copie une photo du passeport de Suzette.

10h22 La dame lui fait installer Teamviewer      https://www.teamviewer.com/fr/ , connectivité à distance

10h39 La dame lui fait installer Ultraviewer        https://www.ultraviewer.net , remote desktop software

Tout cela probablement pour "noyer le poisson" et faire croire à Suzette que la dame investigue. Elle lui dit alors qu'elle a trouvé le remède mais qu'elle doit activer son serveur (sic). Suzette doit lui envoyer 500 Fr pour enclencher le processus de réparation. Pour cela, elle doit aller "acheter pour 500 Fr de cartes à prépaiement Google Play chez Manor, Aldi ou Fust". Elle lui promet que l'argent lui sera rendu sitôt finalisé la réparation (mais bien-sûr...).

Suzette part chez Aldi et achète 4 cartes à 100 Fr (elle se trompe).

Ce que Suzette ne savait pas, c'est que la dame d'une part est restée connectée à son PC et à pu y faire ce qu'elle voulait en son absence, et ensuite qu'elle avait enclenché la caméra du PC afin d'observer les réactions de Suzette. Tout en empêchant le logiciel caméra d'afficher l'image sur l'écran de Suzette. Elle avait en plus diminué la résolution de l'image afin que la transmission vers son propre PC soit plus rapide.

Toujours via Google translate, la dame demande à Suzette de lui écrire les codes des cartes qu'elle lui a fait acheter, ce que cette dernière fait. La dame peut maintenant encaisser l'argent des cartes Google Play. Elle lui dit cependant qu'elle n'a pas acheté les 5 cartes de 100.- demandés mais seulement 4 et ordonne à Suzette de retourner acheter pour 500.- de carte Google Play. Cette dernière lui promet de le faire le lendemain.

La dame transfère alors de l'argent depuis la carte de crédit Manor de Suzette vers des comptes de cryptomonnaies. Suzette ne l'apprendra que 2 jours après, lorsqu'elle fera bloquer sa carte Manor.

Je n'ai pas réussi à savoir si c'est Suzette qui a donné les codes de sa carte Manor à la dame ou si c'est cette dernière qui les a trouvé sur le PC. Toujours est-il qu'elle les a obtenus.

1. 300.- vers Moonpay 8645  https://www.moonpay.com/fr                (IE) cryptomonnaies

2. 517,50 vers Coinify  https://www.coinify.com/                                  (DK) cryptomonnaies

3. 1000.- + 15.- de frais vers Binance   https://www.binance.com/fr  (LT, Vilnius) cryptomonnaies

4. 150.- + 2,25 de frais vers Binance  https://www.binance.com/fr    (LT, Vilnius) cryptomonnaies

5. 200 Fr vers Startselect, help_23QAZ https://startselect.com/ch    (NL) Eindhoven, cartes cartes prépayée

MERCREDI  15 MARS

La dame rappelle plusieurs fois et finalement Suzette va acheter pour 500.- de cartes Google Play chez Manor qu'elle paye avec sa carte Manor. Elle donne les codes des cartes à la dame mais elle commence à se méfier.

Le processus est typique: lorsqu'on a déjà versé de l'argent, on ne veut pas le perdre et on s'enfonce. C'est le même processus qu'un joueur de casino. Il perd mais continue à jouer car il pense pouvoir se refaire.

JEUDI 16 MARS

La dame réclame maintenant 1500.- pour finaliser la réparation. Suzette refuse arguant qu'elle doit payer son loyer et qu'il ne lui reste plus que cette somme sur son compte. De plus en plus méfiante, Suzette prend des photos des messages de la dame.

Une des copies d'écran:

"Cela ne se passe pas comme ça madame parce que nous devons suivre la règle du serveur, tout l'argent est activé lorsque vous mettez 1500 cartes Google Play dans l'ordinateur, sinon tout l'argent sera bloqué et votre ordinateur est également bloqué pour toujours car le serveur a déjà commencé le processus pour tout envoyer.

Mais seulement lorsque vous mettez 1500 cartes Google Play sur l'ordinateur, c'est la dernière chose que vous devez faire sinon vous perdrez tout.

Donc pour la dernière fois vous allez simplement chez coop et migro acheter 1500 cartes Google Play et un ordinateur à la maison, je travaille sur l'ordinateur et sur le mobile"

(Traduction approximative de Google translate, texte pas meilleur en anglais)

Comme Suzette refuse, son bureau devient tout blanc et les icônes disparaissent. Elle coupe alors la communication téléphonique et éteint son PC. Lorsqu'elle le rallume, les icônes du bureau sont revenues mais le fond d'écran est noir.

Elle va alors chez Manor et fait bloquer sa carte.

Elle se rend au poste de police pour déposer plainte. L'agent de service lui  répond qu'il n'a pas le temps car il est débordé de plaintes du même genre. Il lui donne rendez-vous pour dans une semaine.

Le lendemain, elle se décide enfin à m'appeler!... Je vais sur place et fait les première investigations. Je ne trouve ni malwares ni virus, ni logiciels à lancer au démarrage. Mais bien les 3 logiciels de communication chargés par la dame.

J'avais instamment demandé à Suzette de ne rien faire sur son PC avant mon arrivée afin que je puisse retrouver les traces du piratage. Mais elle n'a pas pu résister, entre autres, elle a effacé les icônes des logiciels chargés et connecté son disque dur de back-up externe. Si virus il y a sur le PC, le disque externe est maintenant également vérolé.

Heureusement j'ai pu récupérer ce qu'elle avait effacé dans la poubelle. Je lui ai rétabli son fond d'écran.

Au jour du rendez-vous, le policier l'interroge durant 3 heures et remplit un rapport. Selon lui, elle n'a aucune chance de récupérer son argent. Il lui conseille de porter son PC chez un spécialiste informatique afin de le purger de ce que la dame a chargé. Sous la pression policière, Suzette a retrouvé les noms: la dame lui a dit s'appeler Jennifer Wilson et son entreprise être la Western Union Service..

Conclusions

1. Lors du premier appel, Suzette aurait dû demander à la dame comment elle savait que son PC avait un problème. Cela aurait immédiatement clôt la discussion.
    

2. Elle n'aurait jamais dû installer de logiciel de télé maintenance sur son PC. Le prétexte de la dame était de pouvoir traduire en temp-réel la conversation puisqu'elle ne parlait pas le français (bizarre avec un No de tél 0033...) mais en fait c'était pour lui permettre d'accéder au PC de Suzette et d'y voler ses mots de passe..
    

3. Et finalement ne jamais donner le  code de sa carte Manor mais là je pense que la dame l'a trouvé dans les documents du PC, on met souvent tous ses codes et mots de passe dans un document afin de ne pas les oublier. Si on le fait, on doit alors impérativement stocker ce document ailleurs que sur le PC, sur une clé USB par exemple.

Michel Vonlanthen

Avril 2023

Quelques idées d'investigation

1) Tracer un message grâce à son adresse IP

Utiliser la fonction traceroute de Windows:

• Appuis simultané sur les touches Windows et R.

• Taper: cmd.exe, puis Enter

• Taper tracert <adresse IP>

Traceroute sous Linux. Installer le paquet correspond si ce n'est pas fait.

sudo apt-get install traceroute

On peut alors voir le chemin pris par les paquets et les villes traversées.

2) Observer l'activité réseau des programmes

Installer TcpView ( https://technet.microsoft.com/fr-fr/sysinternals/tcpview.aspx ) .

Le lancer afin de suivre l'activité réseau des programmes installés.

La colonne "Remote address" est indicative des softs qui communiquent avec l'extérieur.

Entrer l'ads IP dans http://iplocation.net pour savoir à qui elle appartient.

3) Historique des fichiers téléchargés

Voir la liste des fichiers téléchargés dans le navigateur.

Avec Firefox cliquer sur: puis sur Téléchargements.

On lit alors la date du téléchargement et l'endroit où on l'a mis.

On peut ensuite les scanner avec https://www.virustotal.com/ ou https://malwr.com/ et on peut voir de quoi il s'agit.

4) Pister un hacker

Explications: https://www.leblogduhacker.fr/comment-pister-un-hacker/

5) Observer les logs

Rechercher sur le PC: observateur d'évènements

Pour remonter dans l'historique du PC en chargeant et en exécutant: http://www.nirsoft.net/utils/computer_activity_view.html

(Download LastActivityView)

Votre ads mail a-t-elle été piratée dans le passé?  https://haveibeenpwned.com

6) Observer les processus

Avec le gestionnaire de tâches [CTRL ALT DEL]

ou mieux avec https://technet.microsoft.com/en-us/sysinternals/processexplorer.aspx

7) Observer les programmes lancés au démarrage

Avec  [CTRL MAJ ESC] et Applications de démarrage

8) Qui utilise mon WIFI ?

Télécharger Wireless Network Watcher: http://www.nirsoft.net/utils/wireless_network_watcher.html

ou en local: wnetwatcher_setup.exe

9) Récupérer des fichiers effacés sur le PC
 

D'abord regarder dans la poubelle puis:

https://www.ccleaner.com/fr-fr/recuva

(Récupère des fichiers qui ne sont plus dans la poubelle)

10) Désactiver le Wake-on-lan

Le Wake-on-lan permet d'allumer un PC à distance. Si cette fonction est activée dans le BIOS, le PC n'est jamais totalement éteint mais surveille l'arrivée du signal Wake-on-lan par Internet. Il ne consomme qu'un minimum d'énergie pour cela. Le but est de vous permettre de vous connecter à votre PC à partir d'un PC distant.

Pour cela, il faut, à partir du PC distant:

1. Démarrer le PC de bureau avec cette fonction Wake-on-lan. LE PC se met en route.

2. Prendre la main sur le PC de bureau au moyen d'un logiciel du style de TeamViewer, AnyDesk ou autre qui aura au préalable été installé.

A ce moment-là, l'écran du PC distant reflétera tout ce que vous ferez sur le PC principal.

Pour activer ou désactiver le Wake-on-lan, il faut accéder au BIOS (Basic Input Output System) de votre PC de bureau, qui s'appelle maintenant le "microprogramme UEFI".

En étant dans Windows, il faut cliquer sur la fonction "arrêter" du bouton en bas tout à gauche du bureau (bouton "Windows") puis sur "Marche-arrêt". Ensuite cliquer sur l'option "Redémarrer" tout en pressant sur la touche [Majuscule]. Le PC redémarre et vous propose "Choisir une option". Cliquez sur "Dépannage", puis "Options avancées" et sur "Changer les paramètres du microprogramme UEFI". Finalement cliquez sur "Redémarrer". Le PC s'éteint , redémarre et vous présente son bon vieux BIOS.

Avec la touche [Flèche à droite] allez dans l'onglet "Main" et vous y verrez l'option "Wake on lan". Descendez sur cette option avec [Flèche en bas] et tapez sur le bouton [Enter] si vous désirez changer sa propriété. Une petite fenêtre avec les options "Disabled" et "Enabled" s'ouvre et vous pouvez choisir celle que vous désirez. La touche [Enter] confirme ce choix et ferme la petite fenêtre. Il ne vous reste plus qu'à sortir du BIOS avec la touche [Esc].

Dans le cas d'un dépannage post-piratage, si la fonction "Wake on lan" est sur "Enabled", cela signifie que le pirate a activé cette fonction afin de pourvoir revenir sur votre PC à votre insu. Il faudra alors la mettre sur "Disabled" pour bloquer ses futures tentatives. A ce moment-là, sa seule possibilité d'accéder à votre PC sera de le faire pendant que ce dernier est allumé. Cela limite déjà les possibilités de piratage.

Le Wake-on-lan est une arme à double tranchant. D'une part il peut vous permettre d'accéder à votre propre PC à distance, ce qui peut être utile, mais d'autre part il ouvre un boulevard aux pirates!... 
 

11) Désinstaller les logiciels de prise en main à distance

Comme par exemple TeamViewer ou AnyDesk car ces logiciels peuvent être configurés pour s'exécuter sans votre autorisation, donc sans que vous acceptiez un appel distance vous proposant une prise en main à distance. Ce qui permettra au pirate de faire ce qu'il veut sur votre PC à votre insu.

Pour ma part j'ai toujours refusé ce procédé lorsque j'étais en activité car que faire si le client vous accuse d'avoir modifié ce qu'il ne fallait pas ou d'avoir accédé à des données confidentielles? Du point de vue juridique c'est très dangereux et ça pourrait vous envoyer en prison car comment  prouver votre innocence?

12) Ne pas laisser votre PC en veille

Car cela signifie qu'il est allumé (bien qu'en veille), ce qui pourrait permettre à un pirate de démarrer le logiciel de prise en main à distance qu'il aura au préalable installé sur votre PC. Si le PC est éteint et que l'option Wake-on-lan du BIOS est désactivée, il ne pourra pas le faire. C'est une sécurité de plus. L'arme absolue est bien-sûr de déconnecter le PC du réseau électrique et du réseau Ethernet. A faire notamment lorsqu'on part en vacances.

13) Changer de mot-de-passe

Cela paraît pourtant évident mais on y pense pas toujours: après le passage d'un pirate, il faut toujours changer le mot de passe du PC. Cela lui compliquera la vie s'il revient à votre insu.

Et également changer tous les modes de passe qui se trouvaient sur le PC lors de l'intrusion car il y a fort à parier que le pirate se dépêchera de s'en servir. Un des grands principes des hackers, c'est de visiter le PC d'un employé d'un entreprise qu'il veut pirater afin de voler le mot-de-passe qu'il utilise pour son télé-travail. Côté sécurité, on est souvent prudent au travail mais moins sur son propre PC.

14) Teamviewer, logiciel de prise en main du PC à distance

Services sur:

• Manuel : Le service démarrera lorsque vous ou un programme lui demandera de démarrer
   

• Automatique : Le service démarrera automatiquement au démarrage de l'ordinateur. Les services tournent déjà avant que vous ne choisissiez votre session Windows.
   

• Automatique (début différé) : Le service démarrera automatiquement au démarrage de l'ordinateur mais
   

• Désactivé : Le service ne pourra jamais démarrer tant que celui-ci est désactivé. Vous ni un programme tiers ne pourra le faire démarrer à moins de le remettre au minimum en "démarrage manuel ».

Le service est installé au moment de l’installation de TV. Si on ne le veut pas il faut exécuter TV sans l’installer.
Si le service est déjà installé il faut alors le mettre sur désactivé ou sur manuel pour qu’il démarre au lancement de TV.

En résumé, il est préférable d'installer ce genre de logiciel de prise en mains à distance en mode non-installé, afin de ne pas trop faciliter le travail des hackers. Si un service existe sur le PC, ils peuvent le faire démarrer alors que s'il n'y est pas, ce n'est pas possible. Même chose avec un logiciel. S'il n'est pas installé sur le PC il est impossible de s'en servir à distance.

15) Logiciel Pegasus

Logiciel d'espionnage des smartphones israélien. Des infos vérifiées ici:

https://www.amnesty.org/fr/search/Pegasus/

Un cas pratique pour les geeks
 

Le site de mon copain le Dr Goulu a été hacké. Il explique ici ses investigations:

https://microclub.ch/2013/01/18/drgoulu-com-a-ete-hacke/

Plus d’informations :

• https://www.leblogduhacker.fr/comment-savoir-si-vous-etes-pirate/

• Keylogger: https://www.leblogduhacker.fr/keyloggers-explication-contremesures/

• Cheval de Troie: https://www.leblogduhacker.fr/fonctionnement-dun-cheval-de-troie/

• Investigation numérique

• Mon compte a été piraté, que faire ?
• Récupérer un compte piraté
• Pourquoi sommes-nous toujours piratés ?
• Retrouver les traces d’un hacker
• Savoir qui utilise mon Wi-Fi
• Quel est Vraiment LE MEILLEUR antivirus ?