Accueil » Tutoriels » Comment savoir si vous avez été piraté ? (et le jour où j’ai cru l’être !)

On compte 18 victimes de cyberattaques par seconde, 30 000 sites web piratés par jour, 6000 nouveaux virus par mois, et 87 jours environ pour se rendre compte qu’on a été piraté.

Je ne pense plus avoir besoin de rappeler que les cybermenaces sont à prendre très au sérieux. Non seulement il faut être proactif et faire tout son possible pour éviter de se faire pirater, mais en plus il faut être réactif et savoir détecter immédiatement un problème. C’est l’objet de cet article.

savoir si je suis piraté

Voici d’abord certains signes qui doivent vous mettre la puce à l’oreille concernant un potentiel piratage.

Les signes directs

Ces signes doivent vous placer en situation d’urgence. Voici les principaux :

  • Compte soudainement inaccessible (en utilisant le mot de passe habituel)
  • E-mail de Hadopi sans avoir effectué de délit
  • Curseur de souris ou éléments graphiques qui bougent « tous seuls« 
  • Message direct du pirate ou du programme malveillant (ransomware)
  • Achats non autorisés et/ou inconnus via l’un de vos comptes bancaires
  • Activités inhabituelles sur un compte comme une publication en votre nom (ex: sur Facebook)

Les signes indirects

Ces signes ne sont pas forcément évidents à repérer et ne signifient pas forcément qu’il y a eu un piratage. Voici les principaux :

  • Accès suspect à un compte (e-mail d’alerte généré)
  • Ordinateur soudainement lent au démarrage
  • E-mails marqués comme lus sans les avoir lus
  • Clic sur un programme qui est sans effet ou débouche sur une erreur
  • Fichiers supprimés, déplacés, renommés

J’ai une anecdote à vous raconter à propos de l’e-mail signalant une « connexion suspecte » généré par Facebook.

En plein milieu de l’après-midi, alors que je n’étais pas sur mon ordinateur, j’ai reçu le mail suivant:

connexionsuspecte

Vous imaginez le stress que procure cet e-mail lorsque vous n’êtes pas sur votre ordinateur, que vous n’avez jamais été en Espagne et que vous ne connaissez personne de là-bas.

J’essaye donc de me rappeler du dernier endroit de connexion, et de ce que j’ai bien pu faire pour donner mon mot de passe si facilement, mais je ne trouve pas de pistes.

Puis je décide de vérifier que la proximité indiquée par Facebook est bien juste. En cliquant sur « Vérifier la connexion », je peux lire l’adresse IP. Je m’empresse de faire un traceroute pour voir si la connexion vient bien de l’Espagne. Et dès la résolution de l’adresse IP en nom d’hôte (nom d’une machine connectée à Internet), je découvre qu’il s’agit de l’adresse IP de l’Université de Strasbourg où je me suis bien connecté le matin même, en France et à 2000 km d’Almeria !

Voici une preuve que la localisation de l’adresse IP n’est pas toujours précise, et voici également pourquoi vous obtenez parfois des lieux de connexion très loin de chez vous. Et c’est sans parler des connexions via 3G/4G/EDGE/etc avec votre smartphone qui passent par des adresses IP du fournisseur d’accès, donc dans d’autres villes que la vôtre.

Voici une preuve que la localisation de l'adresse IP n'est pas toujours précise Click To Tweet

Mon anecdote peut donc vous rassurer à ce niveau même si une connexion suspecte peut vraiment l’être, notamment si l’adresse IP vient bien d’une autre ville et que vous n’avez aucune raison de penser que c’est une connexion légitime.

Pour faire un traceroute sous Windows, effectuez la démarche suivante :

  • Appuyez simultanément sur les touches Windows et R.
  • Tapez « cmd.exe » puis sur Entrée.
  • Tapez « tracert <ADRESSE IP> »

Sous Linux, c’est la commande « traceroute » après avoir installé le paquet correspondant :

sudo apt-get install traceroute

Observez les chemins pris par les paquets (des informations sur les villes traversées s’affichent)

traceroute

Ici les paquets vont de Strasbourg à Amsterdam, l’adresse IP en question vient donc bien de Strasbourg.

 

Comment savoir si vous êtes piraté(e) en 6 étapes

Voici à présent 6 étapes d’investigation qui vont vous permettre de savoir de façon sûre si vous êtes piraté(e). Je vais faire une simulation d’exemple en même temps.

 

1. Observer l’activité réseau des programmes

Habituellement, un logiciel malveillant cherchera à communiquer avec l’extérieur, que ce soit pour recevoir des ordres ou envoyer des informations dérobées à distance.

Le problème c’est qu’énormément de logiciels communiquent eux aussi, et de façon légitime. Il nous faudra donc comprendre rapidement l’activité réseau et savoir extraire le contenu qui nous intéresse.

Pour cela, vous pouvez installer TcpView, et le lancer pour observer les programmes sur votre ordinateur qui communiquent avec l’extérieur :

unviruspotentiel

 

Visiblement, un programme qui semble être un virus vient de faire une connexion réseau avec l’adresse distante (Remote Address) suivante : 65.55.163.152.

En jetant un œil sur iplocation.net, on voit que l’adresse appartient à Microsoft :

microsoft

Mais qu’est-ce que Microsoft vient faire ici ?

En fait, dans la colonne « Remote Port », on distingue « smtp », c’est-à-dire que le programme en question vient d’envoyer un mail en utilisant probablement un compte Microsoft.

Il y a diverses raisons (malveillantes ou non) d’envoyer un mail, un keylogger pourrait par exemple envoyer vos informations personnelles à un pirate.

Plus d’informations ici :

 

2. Observer l’historique des fichiers téléchargés

C’est la première chose à faire si l’on suspecte un programme d’être à l’origine d’un piratage. L’historique des fichiers téléchargés est habituellement accessible via le navigateur web. Ce dernier retient normalement la date de téléchargement ainsi que l’endroit où le programme a été stocké sur l’ordinateur.

Si vous repérez un programme suspect, ne le supprimez pas immédiatement, mais scannez-le via VirusTotal et/ou Malwr :

Bingo, il s’agit bien d’un keylogger :

keyloggervirustotal

 

3. Pister un hacker

Les hackers, ou plutôt les « pirates informatiques » ne sont pas toujours aussi malins qu’on le croit. Certains utilisent les outils des autres sans même savoir comment ils fonctionnent. Cela nous arrange bien, car nous pouvons potentiellement retrouver l’auteur d’un programme malveillant, à condition d’avoir déjà identifié le programme en question.

En l’occurrence, nous pouvons y trouver les coordonnées du pirate…dans son propre programme.

Voici l’article qui en parle :

Pister un hacker

 

4. Observer les logs

Les logs sont des enregistrements automatiques de l’état de certains logiciels, ou du système. Par exemple, si un logiciel se met à planter, un message sera probablement écrit dans les logs indiquant l’heure du plantage et peut-être même la raison de celui-ci.

Les logs n’enregistrent pas que les messages d’erreur, mais contiennent d’autres informations importantes, comme l’heure de démarrage de l’ordinateur, les programmes installés, les programmes lancés…etc.

On peut donc, dans une certaine mesure, remontrer dans l’historique de l’ordinateur. J’ai déjà parlé plusieurs fois du programme qui fait cela très bien : LastActivityView.

Re-Bingo, il semble qu’un certain « virus potentiel » s’est lancé en même temps que Flashplayerplugin, environ 5 min après avoir démarré l’ordinateur :

lastactivityview prouve qu'on a été piraté

Loin de nous l’idée d’accuser Flash Player d’essayer de nous pirater, mais il semble plutôt qu’un programme malveillant se soit caché dans le plugin, si déjà il s’agit du vrai plugin Flash Player.

Plus d’informations :

L’antivirus ne sert à rien ?

 

5. Observer les processus

Il s’agit d’une façon directe, bien qu’assez compliquée pour un novice, d’observer les programmes lancés sur l’ordinateur à un instant donné. Ici, on a déjà repéré le nom du programme malveillant, mais on aurait très bien pu le faire via un gestionnaire des tâches. Je dis « Un » gestionnaire des tâches car il y en a plusieurs, et même si celui livré par défaut avec Windows suffit dans la plupart des cas, il existe des gestionnaires des tâches avancés comme Process Explorer. Le terme « avancé » fait référence aux fonctionnalités supplémentaires qu’apporte cet outil. On citera l’analyse directe avec VirusTotal, la vérification de signatures, l’affichage graphique plus agréable, ou encore les informations (très) détaillées de chaque processus.

Voici ce que l’on peut observer en affichant les propriétés du programme supposé être Flash Player Plugin :

fakeflash

Et voici à quoi ressemblent les propriétés d’un vrai programme Flash :

vraiflash

Notez que l’indication « Verified » indique que la signature du programme a été vérifiée. Le fait de signer des programmes exécutables est extrêmement utile. En somme, lorsque le programme est publié, l’éditeur le signe numériquement. Cette signature peut ensuite être vérifiée auprès d’une autorité. Et le moindre changement dans le programme invalide directement la signature, indiquant par la même occasion que le programme n’est pas authentique.

Plus d’informations :

Est-ce que ce processus est malveillant

 

6. Observer les programmes lancés au démarrage

Il s’agit de l’un des moyens les plus efficaces de détecter un logiciel malveillant. On aurait très bien pu le placer en premier, mais l’ordre ici n’a pas forcément d’importance. Les logiciels malveillants aiment se lancer à chaque démarrage de l’ordinateur. La raison est évidente : ils peuvent ainsi continuer leur activité indéfiniment car ils seront lancés automatiquement par le système d’exploitation lorsque vous démarrez votre ordinateur, sans même que vous n’ayez à toucher quoi que ce soit.

La façon la plus rapide d’afficher les programmes lancés au démarrage de votre ordinateur est d’ouvrir le gestionnaire des tâches de Windows, onglet « Démarrage » :

CTRL + MAJ + ECHAP

danslegestionnaire

Alors comme ça on se lance au démarrage de l’ordinateur sans permissions ? 🙂

 

Notes importantes

Il s’agit bien entendu d’exemples donnés dans cet article. Chaque cas devrait être étudié séparément car il y a d’autres façons de se faire pirater que via un programme keylogger.

L’article ne prend pas en compte le cas des programmes appelés « rootkits« , qui permettent de cacher diverses informations des yeux des divers programmes de sécurité. On ne parle pas non plus du cas des écoutes téléphoniques ou des piratages hors du réseau internet.

Bien entendu, lancer un scan antivirus et faire preuve de bon sens sont de rigueur tout au long de vos recherches.

Plus d’informations :

N’hésitez pas à m’indiquer dans les commentaires quel thème vous voudriez voir traité dans les articles suivants, bonne journée 🙂

22 Commentaires

  1. Salut Michel,
    Très bon article comme d’habitude, en particulier l’anecdote dont j’aurai peut-être jamais pensé à ça

  2. Salut Michel .

    Très bonne article . J’aurais juste une petite question , j’ai mon telephone depuis 2 jours et j’ai un compte fake de moi sur snapchat le plus inquiétant c’est que je n’ai donner mon numéro de téléphone à personne .

    ( il est à mon nom et mon numéro)

  3. Bonjour ayant peur que vous ne voyez pas mon message dans l’un des précédent articles étant donné qu’il date, je poste ici mais si ce n’est pas le plus approprié, j’aimerais savoir comment un site, en l’occurrence un jeu peut-il bannir une personne ? Par IP oui mais il y a-t’il d’autres moyens ? J’en suis sûr, les VPN que vous préconisez ne permettent pas sur ce jeu de contourner un bannissement IP, quelle solution choisir ?

    Merci de votre réponse, je comprendrais si vous ne répondez pas à cette question.

    • Bonjour, désolé pour le délai, habituellement un site peut vous bannir en vous identifiant soit par votre adresse IP, soit par votre compte, soit via des cookies installés dans votre navigateur. Si un VPN n’est pas efficace c’est que le bannissement n’est pas juste lié à l’adresse IP.

    • Bonjour Laurent,

      Malheureusement ou heureusement il existe de multiples façons de bannir un visiteur. Aujourd’hui de plus en plus d’Administrateur de Site Gamer n’y vont plus par quatre chemins, par mesure de précaution ils adoptent des mesures drastiques de blocage de tout le « range IP » du visiteur « blacklisté ».

      Une solution existe-t-elle? Oui, changer de jeu 🙂

      A+!
      Diki

  4. Bonjour,
    aujourd’hui par inadvertance j’ai cliqué sur un lien sur une invitation sur les réseaux sociaux qui m’a conduit sur une page où il était écrit sur un fond noir « HACKED BY WARK
    NOBODY CAN GIVE YOU FREEDOM NOBODY CAN GIVE YOU EQUALITY OR JUSTICE IF YOU AR A MAN YOU TAKE IT FSOCIETY » et il est écrit que c’est une plate forme pour apprendre à « hacker » c’est [email protected] ! Donc je voudrais savoir si je dois m’inquiéter ou si ce n’est rien ? Mais sachant que j’ai un mac je suis connecté avec mon iPhone donc y a t’il une chance que les deux soit touché ?
    Merci pour votre réponse, je ne suis pas très rassuré

    • Bonjour, si votre navigateur est à jour et si vous n’avez rien cliqué en provenance de ce site, vous ne devriez pas avoir de soucis à vous faire. Vous avez eu la bonne démarche qui est de vous méfier et de vous renseigner.

  5. Bonjour je soupçonne qqn de m’avoir piraté pour me mettre un étrange virus dans un de mes fichiers. A savoir que c’est qqn de très intelligent qui travaille dans l’informatique et a reçu des prix… Je le soupçonne très fortement car il ya beaucoup de coïncidences. Mon cas vous inspire t-il ? J’aimerais savoir comment prouver qu’il s’est introduit dans mon ordinateur.

  6. Je viens de me faire hacker a distance il y a quelques heures via a distance je suis perdu aider moi merci

  7. Bonsoir est ce que une adresse ip peut être piratée ? L ordi de mon Papa a été identifié par la police pour un fait de vol. Mon Papa a 79 ans et ce n est pas le genre de la maison des faits pareils. Pouvez vous m éclairer?

    • Bonjour,
      Votre réseau Wi-Fi a pu être utilisé par une autre personne, notamment si la clé Wi-Fi est trop faible. Sinon le PC lui-même a pu être infecté par un programme malveillant qui pourrait avoir pris le contrôle du pc pour effectuer des transactions suspectes. Ce sont les deux pistes que je vois d’emblée.

  8. TROLLiope a écrit:

    Bonjour j’ai 16 ans et j’ai un Pc portable HP je jouait à Minecraft tranquillement sur un serveur quand quelqu’un donne son Skype comme ça moi ainsi que plusieurs personnes l’ont ajoutés on s’es retrouve dans la même conversation il disait vouloir jouait avec nous ils étaient 3 ils ont donné deux fichiers à télécharger via Skype le premier ne faisait rien une petite fenêtre comme un logiciel de lots mais avec rien dedans le deuxième la même chose mais au bout de 10 secondes un messages est apparu au milieu de mon écran : « salut c’est Mr casse cou*les » après ils nous ont dit  » Haha vous avez êté hack on a tous vos codes et tout » après mon ordi a fait des trucs bizarre et ils l’ont éteints . J’ai super foippé j’avais envie de pleurer je l’ai rallumé et demande conseil à un pote il savait pas quoi faire alors heureusement que je suis malin j’avais lit Skype sur une clé USB que j’ai retiré tout de suite après l’extinction de l’ordinateur sitôt rallumé des mises à jours (normales) se sont installées ensuite je suis revenu sur mon Pc tout était redevenu normal j’ai remit ma clé e. Pu continuer à jouer je n’ai pas lancé Skype j’avais trop peur cela s’est passé vers 17H je m’arrête vers 23 H et toujours rien. Doit-je m’inquiéter ? J’ai regarde dans le gestionnaire des tâches rien de suspect et mon internet était normal

    • Bonjour,
      Je vous recommande de changer tous vos mots de passe depuis un autre ordinateur et de scanner celui ciblé en attendant. Même si tout peut paraître normal à présent, des informations ont pu être dérobées et un programme malveillant peut encore être installé.

      • TROLLiope a écrit:

        Merci du conseil j’ai demande à mon père de vérifier mon ordi il a lancé un scan et il a trouve 1 virus et 20 malwares! Je n’aurai jamais eu l’idée de lui demander si je n’avait pas été sur ce site merci beaucoup

  9. Pingback: 6 formes de Cyber-Harcèlement et comment s'en protéger – Le Blog du Hacker

  10. piratage tel fixe porrable ordinateur je n en peu pls

  11. Bonjour.michel quelqun ma envoyé un lien bvog.com/?post= via instagram ma fille avait mon téléphone et à cliqué apres sa j’ai supprimé le compte instagram j’ai même réinitialisé mon téléphone et changé mon mots de passe de ma box.Quel risque je cours ?et que peut obtenir la personne qui ma envoyé ce lien?Je vous prie de m’éclairé merci

    • Bonjour Angela,
      Ne connaissant ni ce site ni les symptômes apparus après le clic je ne suis pas en mesure de vous dire ce qui a pu se passer mais visiblement vous avez pris de bonne mesures. Si votre fille a transmis des données à ce site comme son mot de passe il faut bien entendu le changer. Bonne continuation.

  12. Re bonjour Michel c’est ce site bvog.com…tu sais toujours pas?

  13. Morreen K a écrit:

    Bonjour ,

    Suite à une relation avec mon client je me suis faite pirater . Celle ci a voulu savoir si j’étais bien honnête . Que puis je faire , sachant que mes données ont été piratées ( je n’utilise plus de pc ) ainsi que ma ligne fixe , je suis sous surveillance téléphonique .
    Je ne peux pas porter plainte car c’est une histoire complexe .
    En attente d’une réponse .

Laisser un commentaire

Lire plus :
Retour d’expérience Hack In Paris 2k17 : En immersion dans de grandes conventions françaises sur le hacking

Séraphin est l'un des visiteurs chanceux ayant gagné ses places pour Hack in Paris à travers le blog. Il nous...

Fermer