Admettons le scénario suivant :

Vous venez de vous faire hacker, vous en êtes certain car vous avez identifié une activité suspecte sur votre ordinateur.

Vous êtes donc stressé, vous supprimez rapidement tous les programmes suspects récemment téléchargés, vous lancez un scan avec votre anti-virus.

Et …

Et rien.

Votre anti-virus ne détecte rien, quelqu’un s’est connecté à votre compte mais qui ? et comment ?

Et puisque vous avez supprimé le programme suspect, si déjà vous l’aviez trouvé, on ne peut plus du tout pister un hacker éventuel.

C’est là que je reçois souvent des appels à l’aide car « je dois avoir un programme pour régler tout ça ».

Non je n’en ai pas.

Mais j’ai des méthodes faciles et rapides (bon ok, c’est relatif) à mettre en place pour pister un Hacker.

Revenons donc en arrière.

A partir du moment où on a reconnu une intrusion, il faut certes lancer un scan mais déjà ouvrir le Gestionnaire Des Tâches de Windows (CTRL + SHIFT + ECHAP) et identifier le programme suspect dans l’onglet Processus.

Ce n’est pas facile pour tous, je sais. Vous pouvez donc télécharger HijackThis qui vous donnera un rapport détaillé des fichiers de votre ordinateur.

Vous pouvez également analyser le fichier log résultant en ligne, ou si vous ne comprenez vraiment pas (et dans ce cas uniquement) me contacter avec ce fichier log en main.

Enfin, ouvrez l’éditeur du registre (tapez regedit.exe dans la barre de recherche du menu démarrer) et ouvrez la clé HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run puis supprimez tous les champs contenant des programmes suspects car les programmes listés ici se lanceront automatiquement à chaque démarrage de l’ordinateur.

Note (merci à Gwillerm pour les détails apportés) : il n’y a évidement pas que cette clé de registre qui est concernée. Vous pourrez utiliser le logiciel Autoruns de Sysinternals pour automatiser la recherche des programmes au lancement automatique.

Gardez donc ces programmes suspects sous la main / dans la zone de quarantaine en les changeant de dossier et en évitant bien sûr de les exécuter. Nous verrons dans un instant pourquoi les garder.

C’est long, dur ou ennuyant ? Vous souhaitez trouver qui vous a piraté ? Si oui alors essayez au moins, car vous n’avez rien à perdre ;).

 

Mise en pratique

Prenons un exemple qui est toujours d’actualité. Admettons que je navigue sur Youtube et que je tombe sur une vidéo géniale permettant de hacker un compte Facebook en 2 secondes !!

comment pister un hacker

Je clique naïvement sur le lien dans la description et je télécharge cet excellent programme au design digne d’un Philippe Starck.

Seulement au lieu de l’exécuter et à la vue de l’interface graphique, je sais que ce programme (comme 99% des programmes de ce genre) est codé avec un langage dotnet. C’est-à-dire un langage de Microsoft comme le VB.NET ou le C#.

Ces langages ne sont pas directement compilés en code binaire mais en code MSIL qui est un langage intermédiaire commun à tous les langages dotnet. Ce code, on peut le « décompiler » très facilement et donc retrouver le code source initial. Il est important de noter qu’on ne passe pas outre des protections mais qu’il s’agit bien du comportement standard des programmes dits « managés ».

Pour cela on va utiliser .NET Reflector, je fais un glisser-déposer du programme que je viens de télécharger dans la fenêtre de Reflector.

Et, pas d’erreur à signaler ! Le programme fait bien partie de la famille dotnet !

reflector

J’ouvre donc le contenu en appuyant sur les petits « + » jusqu’à tomber sur un élément appelé Identifiants.

Et que vois-je, une méthode appelée Button1_Click(Object, EventArgs) : Void qui correspond visiblement à l’action effectuée lors d’un clic sur un bouton : (cliquez pour agrandir)

Pister un hackerRien de spécialement malveillant dans ce code, sachant qu’il permet d’envoyer un simple e-mail. Un simple e-mail qui nous donne cependant des informations sur le contenu qui sera envoyé.

On voit :

  • Le compte du hacker et son mot de passe pour ce compte (car le programme en a besoin pour se connecter au service de messagerie).
  • L’adresse du destinataire est la même que celle de l’émetteur (il s’envoie un message à lui-même).
  • Il met dans le corps du message « nouvelle victime ».
  • Il affiche un faux message d’erreur.

Nous savons donc à qui nous avons affaire, et nous avons en prime son mot de passe.

« Nous savons donc qui est le pirate, et nous avons en prime son mot de passe »Cliquez pour tweeterPartager sur FacebookPartager sur LinkedIn

Note :

Cela fonctionne aussi bien pour d’autres informations que l’apprenti pirate nous laisse gentiment.

35 Commentaires. En écrire un nouveau

  • Aide moi pour le challenge numéro 1 ou il faut décompiler avec dotnet. J’ai beau chercher mais le mot de passe est introuvable

    Répondre
  • […] Vous venez de vous faire hacker, vous en êtes certain car vous avez identifié une activité suspecte sur votre ordinateur…Pour pister un hacker nous allons employer des méthodes…  […]

    Répondre
  • Bonjour! =)
    Tu dis que ca marche aussi pour les identifiants ftp d’un site. Comment ca? Quel logiciel ferait tu glisser sur .NET reflector? Pas le navigateur en tout cas (a mon humble avis).
    Merci de ton aide car je souhaiterai metre en place un site, et si n’importe qui pourrait acceder a mes identifiants http://ftp... je serais ruinééé… :,( (lol)

    Répondre
  • Impressionnant ! une contre-attaque.

    Répondre
  • […] cet article qui explique comment pister ce genre de pirates qui, peu soucieux des conséquences, laissent des […]

    Répondre
  • Super article!
    Donc en gros si on veut on peut la faire à l’envers à pas mal de ceux qui proposent ces programmes?

    Et est ce que c’est « dangereux » d’en tester un? Pour voir si on y arrive.

    Répondre
    • Oui c’est ça, ça dépend de ce que tu appelles dangereux et de ce que tu veux tester exactement. Je n’incite personne à pirater personne, c’est juste une piste pour qui aimerait trouver son pirate (question souvent posée et que je trouve légitime surtout quand la police indique ne rien pouvoir faire).

      Répondre
  • LeHackerDesBois
    6 avril 2014 13 h 54 min

    interessant…….. merci :p

    Répondre
  • Punaise le monde du hacking est plein de pièges 😛 merci pour l’article au top comme toujours

    Répondre
  • […] le programme suspect, je le répète, ne le supprimez pas de tout de suite mais lisez plutot l’article suivant qui vous montre comment trouver l’adresse mail et le mot de passe de votre pirate dans des […]

    Répondre
  • Bjr , très bien documenté, bravo excellent. Voilà ma question , j’ai un compte Skype et j’ai une invitation d’une personne que je ne connais pas . Quand je clique sur la photo , on me demande si je suis un homme ou une femme et mon adresse mail , n’est-ce pas un pirate ??

    Répondre
  • Bonjour,Merci pour tes astuces toujours aussi génial:p
    Pourais tu faire un cours pour montrer comment crée une sorte de «virus»innofensif pour s’entrainer a le dé-compilé (comme selui que tu a montré dans se cour )

    Répondre
    • Bonjour Théodore et merci à toi !
      Je ne sais pas si j’aurais de quoi en faire un cours complet mais effectivement c’est une bonne idée. Si j’ai de quoi l’ajouter à un article futur, je n’hésiterais pas à le faire ! 😉

      Répondre
  • Bonjour, et merci pour les idées toujours génial.
    mon souci ici est que dans ce car d’espèce c’est un logiciel qu’on installe. Mais considérons que le pirate nous envoyais une vidéo pas mail ou pas Messenger avec le compte d’une autre victime (une connaissance par exemple) et que par la suite en cliquant on n’est redirigé vers un autre site soit un site de jeux vidéo !?!?
    alors comment ou quelle outil pourrons nous utilisé pour pister notre pirate???????

    Répondre
  • Bonjour. J’aurai besoin d’aide, car je suis pisté par mon voisin. Il regarde tout sur ce que je fais, sur le net, et même sur mon téléphone portable, sms et mms + conversation. J’ai tout changé, mot de passe etc.. Sur tout, et rien ne change. Il sait toujours tout. Mon Pc est souvent lent, voir il rame complétement. Et cela c’est quand je suis chez moi avec ma livebox. J’ai vraiment besoin d’aide. Mais je suis pas une pro de l’informatique. Merci à vous. Alice

    Répondre
  • […] On y trouve également la date de compilation du programme. Précisons aussi que le fichier est un Exécutable Portable (Portable Executable File). Autrement dit c’est un programme Windows qui peut très probablement être décompilé pour pister un pirate. […]

    Répondre
  • Salut
    super article, j’adore 😀
    comme beaucoup je profite des com pour poser une question :p si ta du temps pour répondre 😉
    Depuis plusieurs mois, je m’inquiète d’une chose, je suis gardien d’immeuble, et une personne en sait beaucoup trop sur moi, pour faire court je le soupçonne tres fortement d’avoir eu accès au données de mon pc.
    J’imagine qu’il a craqué ma wifi, malgré que d’origine j’avais changé le mdp par un bien tordu, et que je ne partage pas mes données en réseaux, pas de groupe résidentiel, est t’il possible qu’il est eu accès à mes dossier en passant par là? 😮
    en plus j’ai installer la semaine dernière un relais wifi xiaomi, avec ce truc chinois j’imagine que sa sera encore plus facile 😀
    merci si tu peu m’en dire plus, sinon pas grave 😉

    Répondre
  • salut, j’ai fait un scan avec le logiciel hijack this mais il y a un fichier qu’il n’a pas pu accédé j’y comprends vraiment pas trop alors j’ai essayé de l’y accédé moi meme avec notepad mais l’acces est refusé….

    Répondre
  • Je ne suis pas un expert en cybercriminalité mais globalement, je trouve cette méthode trop « facile ».

    Je m’explique, imaginons un pirate qui souhaite récupérer des informations. Supposons qu’il ne souhaite pas être découvert (à priori ce serait logique). Pourquoi utiliser un langage pouvant se faire « décompiler » et en plus sans utiliser d’obfuscation de code au préalable ?

    Alors pour moi la réponse la plus évidente serait que le pirate lui même est un apprenti pirate qui n’y connait rien (ou très peu) à l’informatique au sens large. La deuxième réponse étant tout simplement qu’il n’en a rien à battre de se faire prendre.

    Bref la question subsidiaire est la suivante. Est ce que la majorité des pirates font parti de la case « personne n’y connaissant rien à l’informatique »?

    Merci pour votre réponse,
    Pascal C.

    Répondre
    • Bonjour Pascal C. Votre analyse est juste, il n’est pas question de dire que tout les pirates n’y connaissent rien en informatique. Ni même qu’ils s’en moquent d’être attrapés.
      L’accent est simplement mis sur le fait que beaucoup d’outils de piratages du type keyloggers/chevaux de troie utilisés dans la nature sont programmés avec ces langages de programmation parce qu’ils sont faciles à utiliser. Et que, effectivement une partie des pirates font tout de même partie de la catégorie de « M et Mme Toutlemonde » et n’ont pas forcément le temps ni l’envie de se spécialiser dans le « piratage » pour trouver le mot de passe de leur conjoint. L’idée de cet article est donc de dépanner les potentielles victimes de ces « pirates » en question.

      Répondre
  • Bonjour j’ai une question très importante, est-ce que quelqu’un a déjà entendue parler de « Nommant alpha » un hacher ou je ne sais quoi, j’ai absolument besoin de savoir si vous avez des infos ou quoi aidez-moi svp

    Répondre
  • Bonjour, j’ai constaté un piratage sur mon ordinateur personnel samedi dernier. J’ai suivi les conseils du blog mais je n’arrive pas à identifier le programme malveillant dans le fichier des logs et j’aimerais identifier qui est à l’origine de ce piratage.
    Puis-je vous contacter par mail? Je ne vois pas votre adresse e-mail. Par avance merci.
    Cécile

    Répondre
  • Bonjour
    Très bon site déjà même si je ne comprends pas toujours;pouvez vous m’aider;quelqu’un a usurpé mon nom et prenom pour créer un compte youtube pour m’humilier;comment puis je remonter à la personne qui a crée cela?La police ne veut pas prendre ma plainte..
    Merci d’avance.

    Répondre
  • Bonjour,me faisant constamment piratee,et surveillee j’ai suivi divers conseil,mais c’est pas génial,ça continue,même avec un nouveau portable,carte sim,je ne doute pas avoir fait des erreurs bien-sûr,ma question est mon adresse IP sur le tel ne correspond pas à l’adresse IP sur les sites,en vérifiant l’adresse indiquée sur le smartphone,ça m’envoie a l’iana,ça me parle d’adresse partage,pas bien compris,et quand je tape l’adresse IP sensée être la mienne,ça m’envoie a mon abonneur,donc free,est ce normal ???

    Répondre
  • Bonjour
    Depuis un ans je suis bloquée par un Hacker qui empêche mes recherches d’emploi et je cherche des solutions car peu des mes emails fonctionnent et pour la recherche d’emploi on vous demande un email … Je suis constamment obligé de installer des nouveaux emails à cause de ça. J’ai un peu prêt compris et c’est vraiment très bien que vous donner des conseils Sinon on est bien seul face à ça… 😐😔

    Répondre
    • Bonjour,
      Si les bugs que vous rencontrez ne sont pas que des bugs systèmes, mais s’apparentent plutôt à des piratages (mots de passe qui deviennent incorrects), il est possible qu’un logiciel espion se trouve sur votre ordinateur. Je partirai donc sur cette piste en commençant par choisir un bon antivirus. Merci pour votre visite, amicalement, Michel.

      Répondre
  • Je vois que le logiciel pour exploiter le code source est gratuit pour 14 jours, cela veut dire que après cela il ne sera plus possible d’utiliser cette technique ? Dois-je le télécharger que lorsque je subirais une tentative de piratage ? Très bon tuto sinon !

    Répondre
    • Bonjour,
      C’est une bonne question, je pense effectivement que vous pouvez garder le lien sous la main pour le télécharger au moment venu. Merci pour votre visite 😉

      Répondre
      • Bonsoir, En février j’ai reçu un message sur messenger assez menaçant et personnel. Avant que je n’ai pu répondre la personne à disparu. En parlant de ça avec des amis, deux avaient reçus un message du même pseudonyme me concernant, une journée avant moi. Au début avril mon mari et des amis reçoivent des appels téléphoniques me diffamant et la semaine passée un ami reçois encore un appel à mon sujet et la personne sait tout sur mes faits et gestes des 15 derniers mois. La GRC et La sureté du Québec sont avisées. La première prend les infos mais n’enquête pas et la seconde ne bouge pas très vite. Qu’est-ce que je pourrais faire sans nuire à l’enquête, si il en a une. Mais je dois faire en sorte de protéger mes futures informations puis comment savoir qu’elles appareils est en cause. Car j’utilise très rarement mon portable et l’ordi de bureau. Mais j’utilise mon cellulaire alors je suis témoin de certains faits bizzards. Mon cell. me demande mon code de sécurité. Chose qu’il fait que lorsque mon appareil a été fermé sinon je l’ouvre de façon digital. L’écran flash souvent et il est très très lent. Je suis assez basique en informatique j’ai peur de tout faire planter si j’essaie vos trucs.
        Avez vous une solution car je ne dors plus et étant déja en pause du travail pour harcèlement voilà que ça se poursuit chez moi. Alors c’est pour ça que je dois absolument conserver toutes les preuves.
        aidez-moi SVP avant qu’ils est ma peau

        Répondre
        • Bonjour,
          Dans votre situation je vous recommande de collaborer avec des agents compétents de façon à ne pas faire de fausses manipulations. Vous pouvez normalement essayer ce qu’il y a dans l’article sans risques, mais visiblement une personne de votre entourage proche ou lointain vous en veut, et je pense que c’est une piste sérieuse sur laquelle partir. Amicalement, Michel.

          Répondre
  • un tuto pour linux serait un plus 🙂 je suis un noob qui apprend doucement à utiliser ubuntu.

    Répondre

Laisser un commentaire

Menu
More in Hacking Éthique, Détection de Piratages, Sécurité Informatique
Se protéger de la faille LFI (Local File Inclusion)

Introduction : Qu'est-ce que la faille LFI Article à destination des développeurs web et administrateurs de sites. La faille LFI tient son nom de Local File...

Close