Pendant mes petites vacances méritées, j’ai un peu lu vos questions fréquemment posées, et j’ai décidé de rédiger cet article pour répondre à l’une d’entre elles qui est récurrente.

La vidéo qui en parle (soumise à limite d’âge car extrêmement dangereuse pour Youtube):

Quelles traces un pirate laisse derrière lui et comment les trouver ?

traces d'un hacker

La question est intéressante et la réponse est bonne à savoir pour plusieurs raisons, notamment :

  • Étant donné qu’un piratage est souvent initié par une personne de notre entourage, il s’agit de l’identifier plus facilement avec ce que l’on sait déjà d’elle dans la “vie réelle”. On pourra par exemple confirmer des doutes sur cette même personne.
  • Dans des cas graves où l’on se retrouve piraté pendant des mois, on pourra enfin agir efficacement face au pirate, et arrêter l’enfer.
  • Et enfin, il s’agit de découvrir si l’on est éventuellement victime de piratage sans même le savoir.

Je parlerai surtout des cas typiques, c’est-à-dire des piratages sous Windows, mais vous êtes aussi concerné si vous utilisez un autre système car les méthodes sont les mêmes dans le fond.

Avant de commencer, sachez que les symptômes typiques d’un piratage sont les suivants :

  • PC lent au démarrage de façon soudaine ou inhabituelle
  • Connexion réseau encombrée
  • Activité suspecte ou automatique sur l’ordinateur
  • Autres plus subtils : conversations Facebook ouvertes/lues, mails marqués comme lus, fichiers crées ou supprimés, etc…

Pour vous en assurer, suivez les étapes suivantes.

1. Votre historique web

Depuis quelques jours mon mot de passe a été changé mais je ne me souviens plus de ce que je faisais juste avant, j’ai tout effacé !

Cette citation est très typique.

Après s’être fait pirater, on efface souvent au plus vite ce qu’on a visité ou téléchargé en pensant bien faire :

On “supprime” ce qui est ou semble être malveillant. Et c’est un comportement normal.

Mais, en agissant ainsi, on ne fait que d’effacer les traces du pirate, et on lui facilite la tâche !

À l’inverse, si vous avez “choisi” de conserver un historique des sites visités avant de vous faire pirater, vous avez une première piste à investiguer.

Remontez donc l’historique pour y trouver un éventuel site que le pirate aurait pu utiliser.

Cherchez notamment les sites auxquels vous avez donné vos identifiants ou depuis lesquels vous avez téléchargé un programme.

Je vous invite à partir à la recherche de sites de phishing, plus d’informations ici : Phishing Facebook et autres, explications et contre-mesures.

Je vous invite également à étudier les sites suspects exécutant des programmes sur votre ordinateur et Comment savoir si vous avez été piraté ?

Note : Pour le téléchargement de programmes malveillants, nous verrons ça dans le second point.

Traquer le propriétaire du siteinspector-160143_640

À présent, vous pouvez traquer l’auteur du site en question, et il existe des outils gratuits et légaux pour cela.

Vous pouvez par exemple interroger les données Whois.

Les données Whois contiennent généralement le nom (et d’autres données personnelles) de l’auteur du site.

Copiez donc l’URL du site en question et collez-la dans le champ de l’un des sites ci-dessous :

Attention :

Certains enregistrements Whois peuvent être faux ou cachés car il est possible de recourir à des services permettant de masquer ses données lorsqu’on enregistre un nouveau nom de domaine.

Vous pouvez également utiliser l’outil traceroute pour essayer de trouver le lieu du serveur et utiliser divers outils de récupération d’informations DNS pour obtenir un maximum d’informations permettant d’identifier le pirate.

Ces méthodes ainsi que d’autres plus avancées dans la recherche d’informations sont expliquées en détail dans le guide Les Bases de la Sécurité Informatique où l’on se mettra dans la peau d’un pirate afin de comprendre comment il agit dans le but de le contrer efficacement.

Vous pouvez aussi porter plainte contre le site en question et le signaler à son hébergeur, mais la police ne fait pas grand chose pour les particuliers, soyez prévenus…

2. Votre activité locale

Comme pour les sites visités, les actions effectuées sur votre ordinateur sont elles aussi enregistrées même si on ne vous le dit pas.

Et ces enregistrements sont très utiles pour y trouver potentiellement le programme malveillant à l’origine du piratage.

Malheureusement, ces enregistrements sont dispersés un peu partout dans votre ordinateur. Pour les récupérer et les lire de façon simple, on peut lire les EventLog (historiques d’évènements) en français.

Il est inutile et ennuyeux de vous donner tous les chemins et tous les moyens pour les lire en fonction de votre version de Windows, car Nir Sofer (un programmeur passionné) a déjà tout prévu et a programmé un outil complet et gratuit pour tout lire à partir d’un seul programme.

Ce programme (que j’ai déjà cité ici et là) s’appelle LastActivityView et peut être téléchargé ici : http://www.nirsoft.net/utils/lastactivityview.zip

Capture d’écran de LastActivityView :

lastactivityview-francais

Lorsque je parlais d’historique web, j’indiquais qu’on supprime souvent trop vite les sites web visités ou les programmes téléchargés.

C’est une erreur car garder ces programmes sur votre ordinateur pourrait vous permettre de pister votre hacker de façon certaine.

Voici maintenant un petit secret concernant la façon de trouver facilement un programme malveillant sur votre ordinateur (les antivirus devraient proposer des scans avancés pour ce type de programmes et bien des piratages seraient évités) :

Appuyez simultanément sur la touche Windows et la touche R puis tapez msconfig (ou rendez-vous dans le gestionnaire des taches avec CTRL + MAJ + ECHAP):

msconfig

Rendez vous dans l’onglet Démarrage et observez les programmes dans la liste. Ce sont les programmes automatiquement lancés au démarrage de l’ordinateur, une bonne planque pour les programmes malveillants même si d’autres programmes légitimes s’y trouvent aussi.

La plupart des keyloggers se lancent au démarrage de l’ordinateur, il reste à savoir quel programme est malveillant et quel programme ne l’est pas.

Pour le savoir, et d’une manière plus générale concernant l’étude et la désinfection approfondie de l’ordinateur, je donne des méthodes uniques et programmes spéciaux dans mon cours Nettoyage PC, Désinfection et Sécurisation.

Si vous avez identifié le programme suspect, je le répète, ne le supprimez pas de tout de suite mais lisez plutôt l’article suivant qui vous montre comment trouver l’adresse mail et le mot de passe de votre pirate dans des cas précis. Vous aurez le droit à une bonne revanche !

3. Le pirate communique peut-être encore avec vous

Vous ne le voyez pas et ne l’entendez pas forcément, mais un pirate cherchera à rester le plus longtemps possible dans votre ordinateur tout en communiquant avec ce dernier afin de transférer des mots de passe et autres données personnelles vers son ordinateur.

Cela rejoint les points précédents, et si vous avez déjà identifié et supprimé le programme malveillant en question, vous n’aurez plus d’autres soucis à vous faire à part garder un pc sain.

Par contre, il est possible que vous ne trouviez pas forcément le programme suspect, ou que vous souhaitez obtenir plus de traces du pirate, alors même que son programme est encore en cours d’exécution sur votre ordinateur.

Pour analyser les données transférées depuis votre ordinateur, il existe encore un programme facile d’utilisation crée par le “maître” de Windows, alias Mark Russinovich : TcpView.

Les connexions réseau sont affichées et vous permettent d’identifier l’adresse IP du pirate !

Je vous fournis un tutoriel TcpView plus complet ici, rapidement traduit de l’anglais.

88 Commentaires
Cliquez ici pour ajouter un commentaire

  • Bonjour, je recherche de l’aide contre un pirate : j’ai cliqué sur le lien d’un pirate qui s’est fait passer par une personne que je n’ ai pas contacté depuis longtemps mais en qui j’ai confiance,
    Donc il avait une fausse adresse mail …@yorioka.jp imitant l’adresse de mon amie …@yahoo.fr
    Je l’ai malheureusement ouverte et cliqué sur le lien http://bit.ly/
    Comme ce message semble public je ne mets pas la totalité des informations, mais je pense que la personne veut me scanner ou faire quelque chose comme cela.
    Pouvez vous m’aider svp : C’est important pour moi de savoir s’il s’ agit juste d’ un imbécile ou de quelqu’ un de vraiment malveillant, donc de trouver qui est-ce et pourquoi.
    Merci d’avance de votre proposition si possible

    Répondre
    • Bonjour, d’après la situation (message venant d’une connaissance piratée), je pense plutôt qu’il y avait un but bien défini derrière ce lien… mais je ne peux vous en dire plus sans informations supplémentaires. Amicalement

      Répondre
  • Bonjour, Merci pour votre article qui donne des pistes intéressantes. Je suis sur Mac et je viens de me faire pirater une adresse mail. Auriez-vous des compléments d’information spécifique pour Mac. Merci d’avance.

    Répondre
  • Bonjour proposez vois vos services afin de retrouver un pirate informatique

    Répondre
  • J’aurais une question je sais pas dutout piraté mais j’aimerais bien piraté comme un “white hacker” par exemple si je suis menacé…Ducoup quelle est le bon logiciel pour faire quelque chose de pas très grave genre ouvrir une page mettre le PC en veille ect…merci de votre retour (si vous m’en faite 1 car en 2020 le projet et peu être terminer)
    Merci quand même

    Répondre
  • Bonjour,
    Merci pour l’aide proposée.
    Mon copain paye un hacker et celui-ci lui retransmet mes conversations Messenger uniquement ça fait la quatrième fois j’en peux plus .
    Comment je peux faire ?

    Répondre
    • Bonjour, de toute évidence vous devez soit trouver le logiciel malveillant sur votre PC ou smartphone, soit réinitialiser complètement ces deux équipements. PUIS changer tous les mots de passe, dont Messenger bien entendu.

      Répondre
  • salut, merci pour votre article
    mais j’ai un petit probleme
    mon compte instagram a ete pirate depuis decembre 2019 jpeux mconnecter mais quand je verifie l’activite de connexion je trouve toujours la meme appreil “toujours en ligne” meme si je change de mot de passe. des mois apres mon compte facebook a ete aussi pirate mes amis me trouvent en ligne a 4h du mat alors que c’est pas moi. facebook m’a deja demande de confirmee mon adresse e-mail et de changer de mot de passe. sur instagram je trouve des messages deja lus et des messages likes. recemment jai fait une recherche sur google et jai trouve une autre localisation qui n’est pas la mienne ça m’est arrive deux fois avec 2 localisations differentes alors qu’on est confines je suis toujours a la maison je bouge pas en plus moi je laisse toujours mon pc a la maison. comment je peux savoir qui m’a pirate?
    et merci.

    Répondre
    • Bonjour,
      si vous êtes à la maison et que vous êtes connecté(e) avec une autre localisation, il y a de toute évidence un accès frauduleux à votre compte. De plus, si Facebook vous a envoyé une alerte de connexion à confirmer, c’était peut être justement celle qui vous permettait d’empêcher la connexion mais que vous avez accepté ? Dans tous les cas, il est vivement recommandé de changer tous vos mots de passe à partir d’un périphérique sain.
      Amicalement,

      Répondre
  • Bonjours , je suis une petite adolescente je pense qui est atteind de cybermenace ou encore d’autres choses mais je ne sais pas comment l’expliquer à ma mère que sa fait mtn 6 fois que on veux me pirater , un ami a moi a chaque fois récupére mon compte . Mais mtn il va pas faire que dépenser des sous pour un simple compte alors j’aimerais avoir des renseignement car fue un temps j’arrêterai pas de me faire hacker mon instagram par des pédophiles qui venez me demander des nudes et après me hacker choses que j’ai du faire car j’étais égoïste. Mais la meilleure chose à faire c’est d’allez porter plainte nan ? Enfin je ne sais pas , je ne mis connais pas du tout en informatique et avré dire j’en suis perdue , j’ai sécurisé mon compte Instagram comme je le pouvais malheureusement.. si vous avez des conseils ou autre a me donner il n’y a pas de problème je vous écoute . Bonne journée

    Répondre
    • Matthieu Gallant
      20 juillet 2020 22 h 13 min

      Commencer par changer le mot de passe de vos comptes qui se font hacker par des mot de passe difficile. Changer aussi votre mot de passe WiFi, quand on se fait hacker plusieurs fois, il faut se poser les questions suivantes;
      – est ce que mes mots de passes sont trop facile
      – est ce que le point d’accès internet ou je me connecte
      – est compromis (voisin utilisant votre wifi, ou hotspot wifi gratuit)
      – est ce que j’ai entrer mon mot de passe alors que je croyais qu’il étais enregistrer
      – quand, ou, comment ?

      Bref, la plupart du temps suite a plusieurs atttaque, c’est l’utilisateur qui a permis le hacking a son insu.

      Répondre
  • Bonjour; A chaque fois que je donne mon code sur le Boncoin , je reçois un mail m’indiquant que ce mot de passe à été piraté J’ai changé d’opérateur mais rien n”y change . Ils me disent ” edge Guipavas ” Qui se connecte à mon insu à mon ordinateur ? Merci pour la éponse Cdt J.B

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Vous devez remplir ce champ
Vous devez remplir ce champ
Veuillez saisir une adresse e-mail valide.

Menu