Savoir si vous avez été piraté

https://www.leblogduhacker.fr/comment-savoir-si-vous-etes-pirate/

Les signes directs d’un piratage

Ces signes doivent vous placer en situation d’urgence. Voici les principaux :

• Compte soudainement inaccessible (en utilisant le mot de passe habituel)
• E-mail de Hadopi sans avoir effectué de délit
• Curseur de souris ou éléments graphiques qui bougent « tous seuls« 
• Message en direct du pirate ou du programme malveillant (mais attention au chantage, voir ci-dessous les « faux signes d’un piratage »)
• Fichiers chiffrés (ransomwares)
• Achats non autorisés et/ou inconnus via l’un de vos comptes bancaires
• Activités inhabituelles sur un compte comme une publication en votre nom (ex: sur Facebook)

Les signes indirects d’un piratage

Ces signes ne sont pas forcément évidents à repérer et ne signifient pas forcément qu’il y a eu un piratage. Voici les principaux :

• Accès suspect à un compte (e-mail d’alerte généré)
• Ordinateur soudainement lent au démarrage
• E-mails marqués comme lus sans les avoir lus
• Clic sur un programme qui est sans effet ou débouche sur une erreur
• Fichiers supprimés, déplacés, renommés

Le jour où j’ai été piraté ?

J’ai une anecdote à vous raconter à propos de l’e-mail signalant une « connexion suspecte » généré par Facebook.

En plein milieu de l’après-midi, alors que je n’étais pas devant mon écran, j’ai reçu le mail suivant:

 

Vous imaginez le stress que procure cet e-mail lorsque vous n’êtes pas sur votre ordinateur, que vous n’avez jamais été en Espagne et que vous ne connaissez personne de là-bas.

Ca y est, on m’a piraté mon compte Facebook ?

J’essaye de me rappeler du dernier endroit de connexion, et de ce que j’ai bien pu faire pour donner mon mot de passe si facilement, mais je ne trouve pas de pistes.

Firefox sous Linux ? en Espagne ?

Puis je décide de vérifier que la proximité indiquée par Facebook est bien juste.

En cliquant sur « Vérifier la connexion », je peux lire l’adresse IP. Je m’empresse de faire un traceroute pour voir si la connexion vient bien de l’Espagne.

Et dès la résolution de l’adresse IP en nom d’hôte (nom d’une machine connectée à Internet), je découvre qu’il s’agit de l’adresse IP de l’Université de Strasbourg où je me suis bien connecté le matin même, en France et à 2000 km d’Almeria !

Et effectivement, nous utilisons Linux…

L’e-mail a mis beaucoup de temps à m’être envoyé, faussant le timing, en plus du problème de géolocalisation faussant le lieu…

Voici une preuve que la localisation de l’adresse IP n’est pas toujours précise, et voici également pourquoi vous obtenez parfois des lieux de connexion très loin de chez vous. Et c’est sans parler des connexions via 3G/4G/EDGE/etc avec votre smartphone qui passent par des adresses IP du fournisseur d’accès, donc dans d’autres villes / régions que la vôtre.

« Les signes directs et indirects d'un piratage à connaître »Cliquez pour tweeterPartager sur FacebookPartager sur LinkedIn

Mon anecdote peut donc vous rassurer à ce niveau même si une connexion suspecte peut vraiment l’être. Notamment si l’adresse IP vient bien d’une autre ville et que vous n’avez aucune raison de penser que c’est une connexion légitime.

Pour faire un traceroute sous Windows, effectuez la démarche suivante :

• Appuyez simultanément sur les touches Windows et R.
• Tapez « cmd.exe » puis sur Entrée.
• Tapez « tracert <ADRESSE IP>« 

Sous Linux et Mac, c’est la commande « traceroute » après avoir installé le paquet correspondant s’il n’est pas installé par défaut :

sudo apt-get install traceroute

Observez les chemins pris par les paquets (des informations sur les villes traversées s’affichent)

Les faux signes d’un piratage

Suite à de nombreux e-mails et commentaires au sujet d’un e-mail provenant d’un « hacker » disant avoir piraté vos comptes et accédé à votre webcam pour vous filmer à votre insu afin de vous demander une rançon sous peine de diffusion des vidéos : il s’agit d’un chantage visant à vous faire payer pour quelque chose qui ne s’est pas produit. Vous n’avez pas été piraté(e).

Le message contient beaucoup de variantes mais s’énonce habituellement de la façon suivante :

« Vous ne me connaissez pas et vous vous demandez pourquoi vous recevez cet e-mail […] J’ai mis en place un virus sur un site pour adulte (porno) […] et vous avez visité ce site pour vous amuser […] Pendant que vous regardiez des vidéos, mon logiciel a mis un virus dans votre ordinateur et vous a filmé à travers votre webcam […] j’ai créé une vidéo en double écran, la première partie montre la vidéo que vous regardiez, l’autre montre votre webcam […] Veuillez acheter des bitcoins et me payer sous peine de diffusion des vidéos […] Je vous garantis que je ne vous dérangerai plus ensuite ».

Beaucoup d’articles en parlent déjà sur Internet, sur pcastuces, sur zataz, etc… Je ne vais donc pas en faire un énième article mais je tenais à vous rassurer. Initialement, ce mail était en anglais (et était déjà envoyé il y a quelques années ! parfois il était vaguement traduit en français, mais à présent les pirates francophones on pris le relais…)

Comment être sûr que ce n’est pas vrai ?

Eh bien le pirate aurait tout intérêt à vous fournir une preuve, même minime pour vous faire payer de façon sûre. Or, le fait que votre mot de passe se trouve dans le mail n’est pas une preuve suffisante, et le fait que le mail proviennent de votre propre adresse e-mail n’est pas non plus une preuve suffisante (c’est plutôt un problème au niveau du prestataire e-mail utilisé…).

Comment savoir si j’ai été piraté(e) en 6 étapes

Voici à présent 6 étapes d’investigation qui vont vous permettre de savoir de façon sûre si vous êtes piraté(e). Je vais faire une simulation d’exemple en même temps.

1. Observer l’activité réseau des programmes

Habituellement, un logiciel malveillant cherchera à communiquer avec l’extérieur, que ce soit pour recevoir des ordres ou envoyer des informations dérobées à distance.

Le problème c’est qu’énormément de logiciels communiquent eux aussi, et de façon légitime. Il nous faudra donc comprendre rapidement l’activité réseau et savoir extraire le contenu qui nous intéresse.

Pour cela, vous pouvez installer TcpView, et le lancer pour observer les programmes sur votre ordinateur qui communiquent avec l’extérieur :

Visiblement, un programme qui semble être un virus vient de faire une connexion réseau avec l’adresse distante (Remote Address) suivante : 65.55.163.152.

En jetant un œil sur iplocation.net, on voit que l’adresse appartient à Microsoft :

Mais qu’est-ce que Microsoft vient faire ici ?

En fait, dans la colonne « Remote Port », on distingue « smtp », c’est-à-dire que le programme en question vient d’envoyer un mail en utilisant probablement un compte Microsoft.

Il y a diverses raisons (malveillantes ou non) d’envoyer un mail, un keylogger pourrait par exemple envoyer vos informations personnelles à un pirate.

Plus d’informations ici :

• Fonctionnement d’un Cheval de Troie
• Les Keyloggers, explications et contre-mesures

2. Observer l’historique des fichiers téléchargés

C’est la première chose à faire si l’on suspecte un programme d’être à l’origine d’un piratage. L’historique des fichiers téléchargés est habituellement accessible via le navigateur web. Ce dernier retient normalement la date de téléchargement ainsi que l’endroit où le programme a été stocké sur l’ordinateur.

Si vous repérez un programme suspect, ne le supprimez pas immédiatement, mais scannez-le via VirusTotal et/ou Malwr :

• https://www.virustotal.com/
• https://malwr.com/

Bingo, il s’agit bien d’un keylogger :

3. Pister un hacker

Les hackers, ou plutôt les « pirates informatiques » ne sont pas toujours aussi malins qu’on le croit. Certains utilisent les outils des autres sans même savoir comment ils fonctionnent. Cela nous arrange bien, car nous pouvons potentiellement retrouver l’auteur d’un programme malveillant, à condition d’avoir déjà identifié le programme en question.

En l’occurrence, nous pouvons y trouver les coordonnées du pirate…dans son propre programme.

Voici l’article qui en parle :

Pister un hacker

4. Observer les logs

Les logs sont des enregistrements automatiques de l’état de certains logiciels, ou du système. Par exemple, si un logiciel se met à planter, un message sera probablement écrit dans les logs indiquant l’heure du plantage et peut-être même la raison de celui-ci.

Les logs n’enregistrent pas que les messages d’erreur, mais contiennent d’autres informations importantes, comme l’heure de démarrage de l’ordinateur, les programmes installés, les programmes lancés…etc.

On peut donc, dans une certaine mesure, remontrer dans l’historique de l’ordinateur. J’ai déjà parlé plusieurs fois du programme qui fait cela très bien : LastActivityView.

Re-Bingo, il semble qu’un certain « virus potentiel » s’est lancé en même temps que Flashplayerplugin, environ 5 min après avoir démarré l’ordinateur :

Loin de nous l’idée d’accuser Flash Player d’essayer de nous pirater, mais il semble plutôt qu’un programme malveillant se soit caché dans le plugin, si déjà il s’agit du vrai plugin Flash Player.

À ce propos, je voulais mentionner le site https://haveibeenpwned.com/ qui vous permet d’entrer votre adresse e-mail afin de déterminer si un site sur lequel vous vous êtes inscrit(e) avec votre adresse e-mail a été piraté par le passé. Imaginons par exemple que lors du piratage d’Adobe en 2013, vous étiez inscrit(e) sur leur site. Les pirates ont dérobé et partagé la base de données contenant les mots de passe chiffrés, dont le vôtre ! Bien que le mot de passe soit chiffré, il est possible qu’il ait été déchiffré, menant à mal vos comptes à l’heure actuelle, et surtout si vous utilisez toujours le même mot de passe.

Plus d’informations :

L’antivirus ne sert à rien ?

5. Observer les processus

Il s’agit d’une façon directe, bien qu’assez compliquée pour un novice, d’observer les programmes lancés sur l’ordinateur à un instant donné. Ici, on a déjà repéré le nom du programme malveillant, mais on aurait très bien pu le faire via un gestionnaire des tâches. Je dis « Un » gestionnaire des tâches car il y en a plusieurs, et même si celui livré par défaut avec Windows suffit dans la plupart des cas, il existe des gestionnaires des tâches avancés comme Process Explorer. Le terme « avancé » fait référence aux fonctionnalités supplémentaires qu’apporte cet outil. On citera l’analyse directe avec VirusTotal, la vérification de signatures, l’affichage graphique plus agréable, ou encore les informations (très) détaillées de chaque processus.

Voici ce que l’on peut observer en affichant les propriétés du programme supposé être Flash Player Plugin :

Et voici à quoi ressemblent les propriétés d’un vrai programme Flash :

Notez que l’indication « Verified » indique que la signature du programme a été vérifiée. Le fait de signer des programmes exécutables est extrêmement utile. En somme, lorsque le programme est publié, l’éditeur le signe numériquement. Cette signature peut ensuite être vérifiée auprès d’une autorité. Et le moindre changement dans le programme invalide directement la signature, indiquant par la même occasion que le programme n’est pas authentique.

Plus d’informations :

Est-ce que ce processus est malveillant

6. Observer les programmes lancés au démarrage

Il s’agit de l’un des moyens les plus efficaces de détecter un logiciel malveillant. On aurait très bien pu le placer en premier, mais l’ordre ici n’a pas forcément d’importance. Les logiciels malveillants aiment se lancer à chaque démarrage de l’ordinateur. La raison est évidente : ils peuvent ainsi continuer leur activité indéfiniment car ils seront lancés automatiquement par le système d’exploitation lorsque vous démarrez votre ordinateur, sans même que vous n’ayez à toucher quoi que ce soit.

La façon la plus rapide d’afficher les programmes lancés au démarrage de votre ordinateur est d’ouvrir le gestionnaire des tâches de Windows, onglet « Démarrage » :

CTRL + MAJ + ECHAP

Alors comme ça on se lance au démarrage de l’ordinateur sans permissions ?

Notes importantes

Il s’agit bien entendu d’exemples donnés dans cet article. Chaque cas devrait être étudié séparément car il y a d’autres façons de se faire pirater que via un programme keylogger.

L’article ne prend pas en compte le cas des programmes appelés « rootkits« , qui permettent de cacher diverses informations des yeux des divers programmes de sécurité. On ne parle pas non plus du cas des écoutes téléphoniques ou des p