Biko Georges – Comment savoir si vous avez été piraté

Avez-vous déjà eu l’impression que votre ordinateur est sous contrôle ? Ou que vous êtes surement écouté à distance à travers votre réseau informatique ? Vous n’êtes pas le seul.

Les victimes de la cybercriminalité sont de plus en plus nombreuses dans nos villes, pas un jour ne passe sans que ce sujet fasse la une des médias. Ces gros titres impliquent généralement le vol de millions de données auprès d’une grande institution financière ou d’une grande multinationale.

Dans les articles précédents , je vous ai montré comment créer des mots de passe plus forts et comment éviter que votre système domestique ne soit compromis, mais nombreux sont ceux qui s’interrogent encore sur la question suivante : “Comment détecter si mon système a déjà été piraté ?”

La réponse à cette question n’est pas évidente. Le logiciel de piratage est devenu si sophistiqué qu’il est souvent difficile à détecter une fois qu’il est intégré dans votre système. 

Bien qu’un logiciel antivirus / anti-malware puisse souvent empêcher efficacement votre système d’être infecté, dans de nombreux cas, une fois qu’il est infecté, le logiciel ne peut ni détecter ni supprimer l’infection.

La raison en est que le meilleur logiciel malveillant s’intègre dans vos fichiers système et ressemble à de véritables fichiers système Windows. Souvent, il remplacera un fichier système tout seul, en conservant le même nom de fichier et la même fonctionnalité, mais en ajoutant sa propre fonctionnalité. De cette manière, il ressemble et agit de la même manière que le fichier système nécessaire au bon fonctionnement de votre système d’exploitation. Seule la fonctionnalité supplémentaire permet à un pirate informatique distant d’accéder à votre système et à ses ressources.

Pourquoi les pirates veulent-ils utiliser votre ordinateur?

Bien que la raison pour laquelle les pirates sollicitent nos numéros de carte de crédit, nos comptes bancaires et notre identité soit évidente, certains pirates cherchent tout simplement à utiliser nos ordinateurs. 

En infectant des milliers, voire des millions d’ordinateurs à travers le monde, ils peuvent créer ce qu’on appelle un “botnet”.

Un botnet est simplement un réseau d’ordinateurs compromis contrôlés par un seul centre de commande et de contrôle. J’estime que 30 à 50 % de tous les ordinateurs grand public font partie d’un réseau de zombies à la fois.

Ce botnet peut être utilisé pour de nombreuses activités apparemment inoffensives et pour bien d’autres activités malveillantes. Les botnets peuvent être utilisés pour envoyer des spams, déchiffrer des mots de passe, mener des attaques par déni de service (DDoS), etc.

Dans tous les cas, ils utilisent des ressources système qui ne vous sont pas disponibles. Vous détecterez probablement votre propre système fonctionnant de manière lente ou irrégulière.

Voyons comment nous pouvons détecter si une telle faille de sécurité s’est produite sur VOTRE système.

Étape 1 – Exécuter un logiciel antivirus

REMARQUE: bien que les logiciels antivirus et anti-malware puissent différer par ce qu’ils détectent, je ferai référence à la fois collectivement à antivirus (ou AV) tout au long de cet article. Il est bon de vous assurer que vous en avez un qui détecte à la fois les virus et les logiciels malveillants, y compris les chevaux de Troie, les vers, les logiciels espions, les rootkits , les enregistreurs de frappe , etc.

Il existe de nombreux logiciels antivirus de qualité sur le marché. Le problème est que même les meilleurs ne détectent pas plus de 5 à 10 % des logiciels malveillants connus. 

Ensuite, il y a le malware inconnu qui sort tous les jours. Les pirates informatiques développent constamment de nouveaux logiciels, généralement des variantes de programmes malveillants existants, mais suffisamment différents pour échapper à la détection de la signature de ces développeurs de logiciels. 

Dans ces cas, votre logiciel audiovisuel est inutile.

Malgré cela, je vous recommande tout de même d’acheter une marque réputée de logiciels audiovisuels et de la maintenir à jour. 

Ces mises à jour sont essentielles car elles représentent les signatures du nouveau logiciel de piratage que l’on trouve dans le “wild”. 

Autorisez ce logiciel à effectuer une “détection active” et une réponse, car une fois que le logiciel malveillant s’est intégré à votre ordinateur, il est parfois impossible de le détecter et de le supprimer.

Bien qu’il soit difficile pour le consommateur moyen d’évaluer un logiciel audiovisuel et que tous les développeurs de logiciels prétendent être les meilleurs, il existe un laboratoire objectif qui évalue leur efficacité. Il est connu sous le nom de Virus Bulletin et vous apprécier voir ses performances ici

Le tableau ci-dessous est issu de leurs derniers résultats évaluant de nombreux logiciels. Comme vous pouvez le constater, le logiciel AV n’est PAS créé égal.

Dans les deux systèmes que je vais utiliser dans cet article, les deux systèmes ont subi une analyse AV approfondie de l’ensemble du disque dur. Dans les deux cas, aucun logiciel malveillant ou virus n’a été détecté, cependant je restais sceptique.

Étape 2:vérifiez le gestionnaire de tâches

La première chose à vérifier lorsque vous pensez avoir été piraté est votre gestionnaire de tâches Windows. Vous pouvez y accéder en appuyant sur Ctrl + Alt + Suppr sur votre clavier et en sélectionnant Gestionnaire de tâches au bas du menu qui apparaît, ou tapez simplement Gestionnaire de tâches dans la ligne d’exécution du menu Démarrer.

Lorsque vous ouvrez le gestionnaire de tâches et cliquez sur l’onglet “Processus”, vous devriez obtenir une fenêtre similaire à celle ci-dessous. Notez en bas l’utilisation du processeur. Sur cette machine infectée, le système est inactif et l’utilisation de la CPU atteint près de 93%! De toute évidence, quelque chose se passe dans ce système.

Ci-dessous, vous verrez le même gestionnaire de tâches sur un système non infecté. Lorsque le système est inactif, l’utilisation du processeur est inférieure à 10%.

Étape 3 – Vérification de l’intégrité du système dans Windows

A présent que nous savons qu’il ya un problème dans notre système, allons plus loin pour voir si nous pouvons l’identifier.

Habituellement, les logiciels malveillants s’intégreront dans les fichiers système, ce qui expliquerait pourquoi le logiciel antivirus ne peut ni le détecter ni le supprimer. Microsoft crée un vérificateur d’intégrité du système dans Windows appelé sfc.exe, qui devrait pouvoir tester l’intégrité de ces fichiers système. La documentation de Microsoft décrit cet utilitaire:

“Le Vérificateur de fichiers système est un utilitaire de Windows qui permet aux utilisateurs de rechercher des corruptions dans les fichiers système Windows et de restaurer des fichiers corrompus.”

L’idée ici est que cet outil ou utilitaire vérifie si des modifications ont été apportées aux fichiers système et tente de les réparer. Essayons-le. Ouvrez une invite de commande en cliquant avec le bouton droit de la souris et choisissez Exécuter en tant qu’administrateur . Puis tapez la commande suivante (assurez-vous d’appuyer ensuite sur Entrée).

sfc / scannow

Comme vous pouvez l’observer sur la capture d’écran ci-dessus, le malware reste caché même de cet outil.

Étape 4 – vérifiez les connexions réseau avec Netstat

Si le malware sur notre système doit nous causer du tort, il doit communiquer avec le centre de commande et de contrôle géré par le pirate informatique. Un individu, quelque part, doit le contrôler à distance pour lui permettre d’agir à sa guise, puis l’extraire à volonté.

Microsoft a créé un utilitaire sous Windows appelé netstat . Netstat est conçu pour identifier toutes les connexions à votre système. Essayons de l’utiliser pour voir s’il existe des liens inhabituels.

Une fois encore, ouvrez une invite de commande et utilisez la commande suivante.

netstat -ano

Dans la mesure où un logiciel malveillant intégré aux fichiers système peut manipuler ce que le système d’exploitation nous dit réellement et ainsi masquer sa présence, cela peut expliquer pourquoi rien d’inhabituel n’apparaît dans netstat. C’est une indication supplémentaire de la réticence de certains de ces logiciels malveillants.

Étape 5 – vérifiez les connexions réseau avec WireShark

Si nous pouvons installer un logiciel tiers pour analyser les connexions à notre ordinateur, nous pourrons peut-être identifier la communication vers et depuis notre ordinateur par une entité malveillante. Le logiciel idéal pour cette tâche s’appelle Wireshark .

Wireshark est un outil gratuit basé sur une interface graphique qui affiche tous les paquets qui entrent et sortent de notre ordinateur. De cette manière, nous pourrons peut-être identifier ce malicieux programme malveillant qui utilise tous nos cycles de traitement et rend notre système si lent.

Comme Wireshark est une application et ne fait pas partie du système Windows, il est moins susceptible d’être contrôlé et manipulé par le malware. Vous pouvez télécharger Wireshark ici. Une fois qu’il a été installé, cliquez sur votre interface active et vous devriez voir un écran ouvert comme celui ci-dessous.

Wireshark peut alors capturer tous les paquets en provenance et à destination de votre système pour une analyse ultérieure.

La clé ici est de rechercher les paquets anormaux qui ne font pas partie de votre communication “normale”. Bien sûr, il va sans dire que vous devriez d’abord avoir une idée de ce qui est “normal”.

Si vous n’avez pas examiné votre communication normale, vous pouvez alors filtrer les paquets pour ne regarder qu’un sous-ensemble de toutes vos communications. Comme les attaquants utilisent souvent un nombre élevé de ports pour échapper à la détection, vous pouvez filtrer, par exemple, les ports 1500 à 60000. Si des communications malveillantes sont en cours, elles apparaîtront probablement dans cette plage de ports. De plus, examinons simplement le trafic quittant notre système pour savoir si le programme malveillant est en train de “téléphoner à la maison” sur l’un de ces ports.

Nous pouvons créer un filtre dans Wireshark en le tapant dans la fenêtre Filtre sous le menu principal et les icônes. Les filtres dans Wireshark sont une discipline à part entière qui dépasse le cadre de cet article, mais je vais vous expliquer une méthode simple à cette fin.

Dans ce cas ici, mon adresse IP est 192.168.1.103, alors je tape:

ip.src == 192.168.1.103

Ce filtre ne montrera que le trafic de mon système (ip.src). Étant donné que je souhaite également filtrer les ports supérieurs à 1500 et inférieurs à 60000, je peux ajouter:

tcp.port> 1500 et tcp.port <60000

Le filtre résultant ne montrera que le trafic répondant à toutes ces conditions, à savoir:

  • En venant de mon adresse IP (ip.src == 192.168.1.103)
  • Venant de l’un de mes ports TCP supérieurs à 1500 (tcp.port> 1500)
  • Venant de l’un de mes ports TCP inférieurs à 60000 (tcp.port <60000)

Lorsque je tape tout cela dans la fenêtre du filtre, il passe du rose au vert, indiquant que ma syntaxe est correcte, comme dans la capture d’écran ci-dessous.

Cliquez maintenant sur le bouton Appliquer à droite de la fenêtre du filtre pour appliquer ce filtre à tout le trafic. Ce faisant, vous commencerez à filtrer uniquement le trafic répondant à ces conditions.

Maintenant, la clé est de rechercher ici un trafic inhabituel qui n’est pas associé au trafic “normal” de votre système. Cela peut être difficile. Pour identifier le trafic malveillant, vous devez taper les adresses IP inconnues avec lesquelles votre ordinateur communique (voir les adresses IP dans la zone) dans votre navigateur et vérifier si le site Web est légitime. Sinon, ce trafic devrait être immédiatement considéré avec un peu de scepticisme.

Détectez si votre ordinateur est infecté par un logiciel malveillant n’est sûrement pas une tâche simple à effectuer. Bien sûr, pour de nombreuses personnes, s’appuyer uniquement sur un logiciel antivirus serait la solution idéale.  

Étant donné que ce logiciel est faillible, certaines des techniques décrites ici peuvent être efficaces pour déterminer si vous avez vraiment été piraté ou non.

Salut, mon nom est BIKO GEORGES, je suis Expert en Hacking Militaire spécialisé dans la Cyberdéfense et la sécurité Informatique avancée. Je suis multi-cerfié en sécurité infrmatique (CEH, CCNA, CHFI, LPT, RHCE, COMPTIA SECURITY+ et PRO+ SECURITY).De retour de l’étranger, j'ai mis sur pied des entreprises capables de lutter contre la mauvaise utilisation des systèmes informatiques.J'ai créé à cet effet : Le Centre de Cyber-Défense Avancée(CCDA), LE SMART HACKING SCHOOL(SHS) devenue ISA aujourd’hui, L’ONG EMANTIC, LE GROUPE D’ENTREPRISE NITRIX (Qui regroupe 8 autres entreprises), ACS, ESH, CHP..

Laisser un commentaire

fr_FRFrench
en_USEnglish fr_FRFrench
Share via
Copy link