On compte 18 victimes de cyberattaques par seconde, 30 000 sites web piratés par jour, 6000 nouveaux virus par mois, et 87 jours environ pour se rendre compte qu’on a été piraté.

Je ne pense plus avoir besoin de rappeler que les cybermenaces sont à prendre très au sérieux. Non seulement il faut être proactif et faire tout son possible pour éviter de se faire pirater, mais en plus il faut être réactif et savoir détecter immédiatement un problème. C’est l’objet de cet article.

savoir si je suis piraté

Voici d’abord certains signes qui doivent vous mettre la puce à l’oreille concernant un potentiel piratage.

Les signes directs d’un piratage

Ces signes doivent vous placer en situation d’urgence. Voici les principaux :

  • Compte soudainement inaccessible (en utilisant le mot de passe habituel)
  • E-mail de Hadopi sans avoir effectué de délit
  • Curseur de souris ou éléments graphiques qui bougent « tous seuls« 
  • Message en direct du pirate ou du programme malveillant (mais attention au chantage, voir ci-dessous les « faux signes d’un piratage »)
  • Fichiers chiffrés (ransomwares)
  • Achats non autorisés et/ou inconnus via l’un de vos comptes bancaires
  • Activités inhabituelles sur un compte comme une publication en votre nom (ex: sur Facebook)

Les signes indirects d’un piratage

Ces signes ne sont pas forcément évidents à repérer et ne signifient pas forcément qu’il y a eu un piratage. Voici les principaux :

  • Accès suspect à un compte (e-mail d’alerte généré)
  • Ordinateur soudainement lent au démarrage
  • E-mails marqués comme lus sans les avoir lus
  • Clic sur un programme qui est sans effet ou débouche sur une erreur
  • Fichiers supprimés, déplacés, renommés

J’ai une anecdote à vous raconter à propos de l’e-mail signalant une « connexion suspecte » généré par Facebook.

En plein milieu de l’après-midi, alors que je n’étais pas sur mon ordinateur, j’ai reçu le mail suivant:

connexionsuspecte

Vous imaginez le stress que procure cet e-mail lorsque vous n’êtes pas sur votre ordinateur, que vous n’avez jamais été en Espagne et que vous ne connaissez personne de là-bas.

J’essaye donc de me rappeler du dernier endroit de connexion, et de ce que j’ai bien pu faire pour donner mon mot de passe si facilement, mais je ne trouve pas de pistes.

Puis je décide de vérifier que la proximité indiquée par Facebook est bien juste. En cliquant sur « Vérifier la connexion », je peux lire l’adresse IP. Je m’empresse de faire un traceroute pour voir si la connexion vient bien de l’Espagne. Et dès la résolution de l’adresse IP en nom d’hôte (nom d’une machine connectée à Internet), je découvre qu’il s’agit de l’adresse IP de l’Université de Strasbourg où je me suis bien connecté le matin même, en France et à 2000 km d’Almeria ! L’e-mail a mis beaucoup de temps à m’être envoyé, faussant le timing, en plus du problème de géolocalisation.

Voici une preuve que la localisation de l’adresse IP n’est pas toujours précise, et voici également pourquoi vous obtenez parfois des lieux de connexion très loin de chez vous. Et c’est sans parler des connexions via 3G/4G/EDGE/etc avec votre smartphone qui passent par des adresses IP du fournisseur d’accès, donc dans d’autres villes / régions que la vôtre.

« Les signes directs et indirects d'un piratage à connaître »Cliquez pour tweeterPartager sur FacebookPartager sur LinkedIn

Mon anecdote peut donc vous rassurer à ce niveau même si une connexion suspecte peut vraiment l’être, notamment si l’adresse IP vient bien d’une autre ville et que vous n’avez aucune raison de penser que c’est une connexion légitime.

Pour faire un traceroute sous Windows, effectuez la démarche suivante :

  • Appuyez simultanément sur les touches Windows et R.
  • Tapez « cmd.exe » puis sur Entrée.
  • Tapez « tracert <ADRESSE IP>« 

Sous Linux et Mac, c’est la commande « traceroute » après avoir installé le paquet correspondant s’il n’est pas installé par défaut :

sudo apt-get install traceroute

Observez les chemins pris par les paquets (des informations sur les villes traversées s’affichent)

traceroute

Ici les paquets vont de Strasbourg à Amsterdam, l’adresse IP en question vient donc bien de Strasbourg.

Les faux signes d’un piratage

Suite à de nombreux e-mails et commentaires au sujet d’un e-mail provenant d’un « hacker » disant avoir piraté vos comptes et accédé à votre webcam pour vous filmer à votre insu afin de vous demander une rançon sous peine de diffusion des vidéos : il s’agit d’un chantage visant à vous faire payer pour quelque chose qui ne s’est pas produit. Vous n’avez pas été piraté(e).

Le message contient beaucoup de variantes mais s’énonce habituellement de la façon suivante :

« Vous ne me connaissez pas et vous vous demandez pourquoi vous recevez cet e-mail […] J’ai mis en place un virus sur un site pour adulte (porno) […] et vous avez visité ce site pour vous amuser […] Pendant que vous regardiez des vidéos, mon logiciel a mis un virus dans votre ordinateur et vous a filmé à travers votre webcam […] j’ai créé une vidéo en double écran, la première partie montre la vidéo que vous regardiez, l’autre montre votre webcam […] Veuillez acheter des bitcoins et me payer sous peine de diffusion des vidéos […] Je vous garantis que je ne vous dérangerai plus ensuite ».

Beaucoup d’articles en parlent déjà sur Internet, sur pcastuces, sur zataz, etc… Je ne vais donc pas en faire un énième article mais je tenais à vous rassurer. Initialement, ce mail était en anglais (et était déjà envoyé il y a quelques années ! parfois il était vaguement traduit en français, mais à présent les pirates francophones on pris le relais…)

Comment être sûr que ce n’est pas vrai ?

Eh bien le pirate aurait tout intérêt à vous fournir une preuve, même minime pour vous faire payer de façon sûre. Or, le fait que votre mot de passe se trouve dans le mail n’est pas une preuve suffisante, et le fait que le mail proviennent de votre propre adresse e-mail n’est pas non plus une preuve suffisante (c’est plutôt un problème au niveau du prestataire e-mail utilisé…).

Comment savoir si j’ai été piraté(e) en 6 étapes

Voici à présent 6 étapes d’investigation qui vont vous permettre de savoir de façon sûre si vous êtes piraté(e). Je vais faire une simulation d’exemple en même temps.

1. Observer l’activité réseau des programmes

Habituellement, un logiciel malveillant cherchera à communiquer avec l’extérieur, que ce soit pour recevoir des ordres ou envoyer des informations dérobées à distance.

Le problème c’est qu’énormément de logiciels communiquent eux aussi, et de façon légitime. Il nous faudra donc comprendre rapidement l’activité réseau et savoir extraire le contenu qui nous intéresse.

Pour cela, vous pouvez installer TcpView, et le lancer pour observer les programmes sur votre ordinateur qui communiquent avec l’extérieur :

unviruspotentiel

Visiblement, un programme qui semble être un virus vient de faire une connexion réseau avec l’adresse distante (Remote Address) suivante : 65.55.163.152.

En jetant un œil sur iplocation.net, on voit que l’adresse appartient à Microsoft :

microsoft

Mais qu’est-ce que Microsoft vient faire ici ?

En fait, dans la colonne « Remote Port », on distingue « smtp », c’est-à-dire que le programme en question vient d’envoyer un mail en utilisant probablement un compte Microsoft.

Il y a diverses raisons (malveillantes ou non) d’envoyer un mail, un keylogger pourrait par exemple envoyer vos informations personnelles à un pirate.

Plus d’informations ici :

2. Observer l’historique des fichiers téléchargés

C’est la première chose à faire si l’on suspecte un programme d’être à l’origine d’un piratage. L’historique des fichiers téléchargés est habituellement accessible via le navigateur web. Ce dernier retient normalement la date de téléchargement ainsi que l’endroit où le programme a été stocké sur l’ordinateur.

Si vous repérez un programme suspect, ne le supprimez pas immédiatement, mais scannez-le via VirusTotal et/ou Malwr :

Bingo, il s’agit bien d’un keylogger :

keyloggervirustotal

3. Pister un hacker

Les hackers, ou plutôt les « pirates informatiques » ne sont pas toujours aussi malins qu’on le croit. Certains utilisent les outils des autres sans même savoir comment ils fonctionnent. Cela nous arrange bien, car nous pouvons potentiellement retrouver l’auteur d’un programme malveillant, à condition d’avoir déjà identifié le programme en question.

En l’occurrence, nous pouvons y trouver les coordonnées du pirate…dans son propre programme.

Voici l’article qui en parle :

Pister un hacker

4. Observer les logs

Les logs sont des enregistrements automatiques de l’état de certains logiciels, ou du système. Par exemple, si un logiciel se met à planter, un message sera probablement écrit dans les logs indiquant l’heure du plantage et peut-être même la raison de celui-ci.

Les logs n’enregistrent pas que les messages d’erreur, mais contiennent d’autres informations importantes, comme l’heure de démarrage de l’ordinateur, les programmes installés, les programmes lancés…etc.

On peut donc, dans une certaine mesure, remontrer dans l’historique de l’ordinateur. J’ai déjà parlé plusieurs fois du programme qui fait cela très bien : LastActivityView.

Re-Bingo, il semble qu’un certain « virus potentiel » s’est lancé en même temps que Flashplayerplugin, environ 5 min après avoir démarré l’ordinateur :

lastactivityview prouve qu'on a été piraté

Loin de nous l’idée d’accuser Flash Player d’essayer de nous pirater, mais il semble plutôt qu’un programme malveillant se soit caché dans le plugin, si déjà il s’agit du vrai plugin Flash Player.

À ce propos, je voulais mentionner le site https://haveibeenpwned.com/ qui vous permet d’entrer votre adresse e-mail afin de déterminer si un site sur lequel vous vous êtes inscrit(e) avec votre adresse e-mail a été piraté par le passé. Imaginons par exemple que lors du piratage d’Adobe en 2013, vous étiez inscrit(e) sur leur site. Les pirates ont dérobé et partagé la base de données contenant les mots de passe chiffrés, dont le vôtre ! Bien que le mot de passe soit chiffré, il est possible qu’il ait été déchiffré, menant à mal vos comptes à l’heure actuelle, et surtout si vous utilisez toujours le même mot de passe.

Plus d’informations :

L’antivirus ne sert à rien ?

5. Observer les processus

Il s’agit d’une façon directe, bien qu’assez compliquée pour un novice, d’observer les programmes lancés sur l’ordinateur à un instant donné. Ici, on a déjà repéré le nom du programme malveillant, mais on aurait très bien pu le faire via un gestionnaire des tâches. Je dis « Un » gestionnaire des tâches car il y en a plusieurs, et même si celui livré par défaut avec Windows suffit dans la plupart des cas, il existe des gestionnaires des tâches avancés comme Process Explorer. Le terme « avancé » fait référence aux fonctionnalités supplémentaires qu’apporte cet outil. On citera l’analyse directe avec VirusTotal, la vérification de signatures, l’affichage graphique plus agréable, ou encore les informations (très) détaillées de chaque processus.

Voici ce que l’on peut observer en affichant les propriétés du programme supposé être Flash Player Plugin :

fakeflash

Et voici à quoi ressemblent les propriétés d’un vrai programme Flash :

vraiflash

Notez que l’indication « Verified » indique que la signature du programme a été vérifiée. Le fait de signer des programmes exécutables est extrêmement utile. En somme, lorsque le programme est publié, l’éditeur le signe numériquement. Cette signature peut ensuite être vérifiée auprès d’une autorité. Et le moindre changement dans le programme invalide directement la signature, indiquant par la même occasion que le programme n’est pas authentique.

Plus d’informations :

Est-ce que ce processus est malveillant

6. Observer les programmes lancés au démarrage

Il s’agit de l’un des moyens les plus efficaces de détecter un logiciel malveillant. On aurait très bien pu le placer en premier, mais l’ordre ici n’a pas forcément d’importance. Les logiciels malveillants aiment se lancer à chaque démarrage de l’ordinateur. La raison est évidente : ils peuvent ainsi continuer leur activité indéfiniment car ils seront lancés automatiquement par le système d’exploitation lorsque vous démarrez votre ordinateur, sans même que vous n’ayez à toucher quoi que ce soit.

La façon la plus rapide d’afficher les programmes lancés au démarrage de votre ordinateur est d’ouvrir le gestionnaire des tâches de Windows, onglet « Démarrage » :

CTRL + MAJ + ECHAP

danslegestionnaire

Alors comme ça on se lance au démarrage de l’ordinateur sans permissions ? 🙂

Notes importantes

Il s’agit bien entendu d’exemples donnés dans cet article. Chaque cas devrait être étudié séparément car il y a d’autres façons de se faire pirater que via un programme keylogger.

L’article ne prend pas en compte le cas des programmes appelés « rootkits« , qui permettent de cacher diverses informations des yeux des divers programmes de sécurité. On ne parle pas non plus du cas des écoutes téléphoniques ou des piratages hors du réseau internet.

Bien entendu, lancer un scan antivirus et faire preuve de bon sens sont de rigueur tout au long de vos recherches.

Plus d’informations :

De façon plus générale, je vous invite vivement à apprendre la sécurité informatique pour bien comprendre et combattre les cyberattaques. C’est vraiment le meilleur moyen de ne pas vous faire avoir. Et cela ne demande pas d’avoir un niveau ou un diplôme particulier. Dans l’ensemble, il s’agit de savoir quoi faire dans quelle situation et d’appliquer les bonnes pratiques une fois avoir cerné les démarches des pirates.

N’hésitez pas à laisser un commentaire si vous avez une question ou besoin d’aide.

95 Commentaires
Cliquez ici pour ajouter un commentaire

  • Bonjour
    Notre ordinateur a été piraté
    Nous avons recu un message de hacker avec menaces et chantages. Il y a aussi des photos personnelles. C’est très troublant. Quelqu’un a réellement acces à toutes les données de notre ordinateur.
    Que faire .? Un signalement à la gendarmerie?
    Merci pour votre reponse

    Répondre
    • Bonjour,
      Oui dans ce cas c’est une urgence et je vous recommande de contacter la gendarmerie. Il est également recommandé de déconnecter le réseau, sauvegarder vos photos/vidéos sur une disque externe et de passer à une désinfection complète de l’ordinateur, quitte à le reformater, et changer vos mots de passe depuis un périphérique sain. Attention : vous effacez potentiellement les preuves en passant, d’où la nécessité d’obtenir les conseils de la gendarmerie.

      Répondre
  • adrien badaracchi
    4 mai 2019 20 h 14 min

    bonjour, quelqu’un change à distance mon fond d’écran en mettant une photo de vacances d’un de mes amis qui dit n’être au courant de rien. Donc de temps en temps quand j’allume mon ordi, au lieu d’avoir mon fond d’écran habituel, j’ai cette photo de vacances. Il a même réussi à le faire sir l’ordi de mon travail. je signale que cet ami est aussi un collègue de travail.

    Répondre
  • Bonjour,
    J’ai reçu un mail qui m’a informé que mon compte icloud a été utilisé par un autre utilisateur et qu’il faut le vérifier. Maladroitement j’ai cliqué sur le lien (depuis mon portable) qui m’a dirigé vers une page en cours de chargement (j’ai vu passer pleins de noms de lien sur la barre de recherche) et j’ai rapidement refermé la page. Bien évidemment c’était un mail frauduleux. Y a-t-il un risque d’être piraté juste en cliquant simplement sur un lien comme je l’ai fait ? Merci.

    Répondre
    • Bonjour Marion, je pense que vous avez évité le pire en fermant la page rapidement car c’était bien une tentative de hameçonnage. La page vous aurait sans doute demander vos identifiants ensuite pour vous les dérober. En théorie vous n’avez pas de gros risque de piratage à l’heure actuelle, vous avez réagi à temps ! Amicalement, Michel.

      Répondre
      • Bonjour, j’ai vraiment besoin d’aide j’ai un pirate depuis 5 ans , nous recevons faux mails faux sms avec les bon numéro des personnes faux papier et menace , je ne sais plus quoi faire les forces de l’ordre nous croient pas du fait quon n’est dans un petit village qui vient a peine d’avoir la fibre le téléphone portable ne passe pas partout non plus dans le village pouvez vous m’aider ? Urgent merci bien respectueusement Amandine

        Répondre
  • Bonjour,
    J’ai été piraté et voici ce qu’Avira m’indique en problème de sécurité PC « Port 445 for Microsoft DS Active Directory » Qu’en pensez-vous ?

    Répondre
  • très interessant j’ai vraiment adoré tes conseils…Merci mille fois

    Répondre
  • Bonjour
    J’ai reçu un e-mail me disant que mon PC à été piraté. Je fais l’objet d’une demande de rancon. Une vidéo prise à mon insu. J’ai 72h pour réagir. Comment sortir de ce chantage? Merci pour votre aide.

    Répondre
  • Bonjour Michel je pense avoir été piraté pouvez vous m’aider? j’ ai voulu changer la langue de la machine et juste apres suis allé sur un site de manga pour telecharger et un message s est affiché d appeller urgemment ce numero car infection critique. J appelle et le monsieur me guide jusqu’a prendre a distance le controle de ma machine me demandant jusqu à 150 euros pour le nettoyage en signalant que le problème est très grave. Je lui ai répondu ne pas avoir ce qui est vrai car suis étudiant et il a dit d’éteindre ma machine et de ne pas la rallumer jusqu’a demain et après de pas trop parcourir le net le temps de trouver une solution. Après reflexion je me dis que c’est louche et puisque c’est une nouvelle machine j ai meme pensé à repartir au magasin pour qu’ils essaient de voir ça.

    Répondre
    • Bonjour,
      Il s’agit d’une arnaque au faux support technique. Il n’y avait probablement aucun virus sur l’ordinateur… quoique le virus peut être le programme téléchargé dorénavant ! Il est vivement recommandé de le supprimer et de changer les mots de passe.

      Répondre
      • Bonjour,
        Mon neveu se servait de mon téléphone… une pub est arrivée offre de téléphone par Bouygues il a répondu au 3 premières questions « genre satisfaction de client » ca a noté récupération de l adresse IP il a été mis sur une page « reclamer » le téléphone.
        Je suis arrivée au même moment et jai fermer la page donc il n a pas eu le temps de cliquer.
        Est ce que je risque une arnaques ou une utilisation de mes données.
        Cordialement.

        Répondre
        • Bonjour Jennifer,
          À priori si aucune donnée personnelles n’a été explicitement communiquée, vous avez évité le pire. Mais il s’agissait bien d’une tentative d’arnaque. Cordialement.

          Répondre
  • Miss Splatoon
    2 mai 2020 22 h 17 min

    Besoin d’aide je pense mettre fait pirater mon ordi… J’ai des vidéos YouTube bizarre qui se lancent sur un onglet différent pas de compte connecté dès que je bouge ma souris l’onglet se ferme. Il se met en veille alors que je bouge la souris, la veille ne se désactive pas un de mes logiciel est devenu inutilisable (trop lent)… Mon frère qui s’y connait bien à fait tout ce qu’il pouvait pour m’aider mais rien n’y change… 2/2

    Répondre
  • bonjour des personnes ont prise le controle de mon pc a distant apres plusieurs reformatage il a arrive toujours a controlé mon ordinateur a distant
    je peux vous envoyer quelques capture d ecran

    Répondre
  • Bonjour. Quelqu un a pris contact avec moi. Je ne sais pas si il se fait passer pour un autre. La voix qd il appel ne correspond aux photos qu il m envoie. Comment puis je être sûre. Est ce que je peux vérifier d ou il envoie les photos. Nous communiquons sur hangouts…

    Répondre
  • Bonjour j’ai besoin d’un renseignement, voilà mon fils s’est fait piraté son compte xbox, et malgré toutes les tentatives formulaire de récupération, appel chez Microsoft, tchat, impossible pour Microsoft de le rendre. Mon fils veut faire transférer ses jeux sur un disque dur externe y a t il un risque que le pirate puisse etre transférer dans le disque dur en sachant que par téléphone j’ai réussi a avoir un agent qui m’a dit qu’il connaissait bien le pirate, qu’il allait le bloquer et qu’il allait envoyer ma demande de récupération de compte plus haut. Mais en attendant on voudrais transférer ses jeux mais je veux savoir si il y a un risque que le pirate entre dans le disque dur externe. J’espère que je suis assez clair, bonne journée à vous

    Répondre

Laisser un commentaire

Menu