Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2138 connectés 

  FORUM HardWare.fr
  Réseaux grand public / SoHo
  Sécurité

  [Résolu] Possible infection sur réseau local (Bbox) ?

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[Résolu] Possible infection sur réseau local (Bbox) ?

n°1119246
UglyStuff
Posté le 16-05-2020 à 21:27:10  profilanswer
 

Bonjour tout le monde,  
   
J'habite en colocation avec deux autres personnes, dont une avec qui les relations sont franchement mauvaises. Il y a quelques jours, elle a contacté un de ses amis techniciens chez un FAI pour lequel elle travaille, et il s'est apparemment introduit dans l'interface de gestion de la Bbox de l'appartement pour "faire le ménage dans la liste des appareils connectés au WiFi".  
   
Immédiatement, j'ai noté des soucis de connexion (lenteurs, coupures temporaires), sans pour autant être totalement incapable d'accéder à Internet, mais depuis trois jours, je remarque un drôle de comportement sur mon PC : le son et la luminosité qui augmentent ou diminuent sans intervention de ma part, du spam que je ne recevais pour ainsi dire jamais sur une adresse Gmail me disant que j'ai été observé via ma webcam en train de mater du porno sur mon PC tout en... Bref... Etc...  
   
Je précise que je suis sur Windows 10 Pro d'un côté, et sur Windows Server 2019 de l'autre, mais que sur ce dernier, je ne me connecte que via le partage de connexion de mon smartphone, et que je ne rencontre aucun des symptômes décrits avec Windows 10.  
   
Je n'ai installé aucun logiciel récemment susceptible d'avoir piraté mon PC, et je ne me livre à aucune activité de téléchargement illégal ou ce genre de choses.  
   
Je me demande donc (et vous demande, par la même occasion) si vous avez eu connaissance d'intrusions sur un PC connecté à un réseau WiFi domestique (PSA2-PSK avec une clé à rallonge), et comment le vérifier ?


Message édité par UglyStuff le 18-05-2020 à 09:54:12
mood
Publicité
Posté le 16-05-2020 à 21:27:10  profilanswer
 

n°1119257
rufo
Pas me confondre avec Lycos!
Posté le 16-05-2020 à 23:19:04  profilanswer
 

S'il a accès au compte root de la box, il aura effacé ses traces, on peut imaginer, donc rien que tu pourras voir avec ton compte "admin".
Si t'as un doute sur la box, demande à la changer ou fait un reset de la box.
Avoir comme OS sur son PC un Windows Server 2019, c'est étonnant. Pour tes pbs sous Windows, ça ressemble plus soit à un problème hardware, soit à un virus. Pas besoin d'aller sur des sites louches ou d'installer des trucs pour en chopper : ouvrir un mail infecté (surtout si tu utilises Outlook ou Thunderbird), aller sur une page web d'un site infecté, ça suffit. Si t'as un doute sur tes PC, ben formate et tu réinstalles.
 
" Il y a quelques jours, elle a contacté un de ses amis techniciens chez un FAI pour lequel elle travaille, et il s'est apparemment introduit dans l'interface de gestion de la Bbox de l'appartement pour "faire le ménage dans la liste des appareils connectés au WiFi".   --> Comment le sais-tu ?


---------------
Astres, outil de help-desk GPL : http://sourceforge.net/projects/astres, ICARE, gestion de conf : http://sourceforge.net/projects/icare, Outil Planeta Calandreta : https://framalibre.org/content/planeta-calandreta
n°1119272
UglyStuff
Posté le 17-05-2020 à 09:18:28  profilanswer
 

Salut rufo et merci de prendre le temps de me répondre.
 
Je commence par ta dernière question : comment je sais que le technicien s'est introduit sur l'interface de gestion de la Bbox ? Parce qu'elle me l'a dit. Avec un faux-semblant d'innocence, histoire de me montrer son pouvoir de nuisance, qui est bien réel, hélas.
 
Je ne vais pas faire d'analyse psychologique de comptoir à son sujet, mais elle est là depuis presque cinq ans, et dans ce laps de temps, elle a réussi à chasser sept autres colocataires, avec son comportement de m**de...

 

Sinon, pourquoi Windows Server ? Parce qu'il fut un temps où j'hébergeais un ftp pour une équipe de traducteurs à laquelle j'appartiens. C'était pratique, et lorsqu'il fonctionne au ralenti, Server ne consomme pratiquement rien en termes de ressources, contrairement à Windows 10. Etant donné la nature un peu sensible des documents que nous traduisons, on ne pouvait pas passer par le cloud, et comme je suis dans un fuseau horaire central par rapport aux autres traducteurs de l'équipe, je me suis proposé.

 

Depuis, notre client principal a mis son propre serveur sécurisé en place, mais j'ai gardé Windows Server (le client m'avait offert la license, pourquoi s'en priver ?)

 

Côté hardware, tout va bien, je pense. Pas d'écrans bleus, pas de coupure intempestive, tout baigne, et je croise les doigts...
 
Reste la question des emails vérolés ou des pages Web trafiquées, mais là encore, j'en doute. Oui, j'utilise Thunderbird, essentiellement pour les emails pro, donc je connais l'origine des envois et des pièces jointes ; qui plus est, j'ai autorisé le scan des emails par l'antivirus, et il lui est arrivé de mettre en quarantaine tel ou tel message... qui était déjà dans mon spam.
 
Je sais que ça sonne parano, mais je pense vraiment que pour faire plaisir à sa copine (ma coloc est très douée pour manipuler son petit monde), le technicien de sa boîte a dû injecter quelque chose sur mon Windows 10, sans doute au moment où j'étais dessus pour installer les dernières mises à jour. Ces dernières se sont installées correctement, sans message d'erreur ou quoi que ce soit, et deux jours plus tard, bim...
 
Enfin, pour ce qui est de formater et réinstaller, je n'ai pas le temps. Je sais qu'on propose ça comme solution à tous les problèmes sous Windows, mais franchement, vu la manière dont la réinstallation est gérée depuis Windows 8, avec la seule installation de l'OS et le maintien des fichiers perso (auxquels je tiens, pour la plupart), si un fichier est vérolé à l'heure actuelle, il le sera toujours après réinstallation.


Message édité par UglyStuff le 17-05-2020 à 09:20:09
n°1119291
rufo
Pas me confondre avec Lycos!
Posté le 17-05-2020 à 11:04:24  profilanswer
 

Peso, je doute qu'un technicien de chez Bouygues soit capable de faire ce genre de hack et encore moins de prendre le risque de perdre son boulot et d'aller en prison (oui, ce genre de manip est punie par la loi). Par ailleurs, s'il l'avait fait, c'est pas 2j après que tu observerais les effets. Comme tu l'as dit, la fille est très douer pour manipuler les gens. Je pense qu'elle bluffe ou si ce n'est pas le cas, le mec a juste dû changer le mdp admin pour que tu ne puisses pas changer la conf de la box. Mais comme je te l'ai dit, tu resetes la box et c'est bon, tu retrouveras la conf de base.
 
Pour Windows, la bonne habitude à prendre c'est qu'une fois le PC acheté et que tu as fini de tout installer, tu fais une image du HDD (partition C) puis tu mets en place une sauvearade régulière de la partition des données (sauvegarde sur un HDD externe ou un mieux, un NAS). Comme ça, en cas de pb, tu restaures juste la partition C avec l'OS et les applis. En fonction de la taille de ce qui est installé, ça prendre entre 10 et 30min. C'est donc assez rapide (bien plus que de devoir tout réinstaller from scratch). :o
 
Concernant l'antivirus, il a forcément du retard par rapport aux attaquants. Ca ne protège donc que des menaces connues. Par ailleurs, il faut bien comprendre qu'il ne reconnais que les menaces les plus courantes du moment. Voici une métrique. Il existe environ au moins 10000 souches de virus avec chacune au moins 10 variantes, ce qui fait 1000000 de virus au minimum à détecter. Les meilleurs antivirus n'ont dans leur BD qu'environ 60000 à 80000 signatures, donc même pas 10% des virus existants. Ils sont obligés de faire ça pour que l'antivirus bouffe pas toutes les ressources du PC.
 
Enfin, les virus font rarement ce que tu décris. Aujourd'hui, ils se font très discrets pour miner de la cryptomonnaie, te piquer des données ou alors, ils te chiffrent tes données pour te demander une rançon. Tous les symptômes décrits ont un point commun : l'OS et le hardware.
Pour éliminer l'aspect, tu peux booter sur un live CD ou USB d'Ubuntu. Si t'as les mêmes pbs, ça sera hardware. Sinon, c'est probablement Windows qui a une MAJ mal passée ou autre chose qui a mis la merde.


---------------
Astres, outil de help-desk GPL : http://sourceforge.net/projects/astres, ICARE, gestion de conf : http://sourceforge.net/projects/icare, Outil Planeta Calandreta : https://framalibre.org/content/planeta-calandreta
n°1119318
UglyStuff
Posté le 17-05-2020 à 12:55:14  profilanswer
 

J'entends tes arguments. Pour le technicien, il travaille chez Xav, comme ma coloc, pas chez Bouygues.  
 
J'aurais préféré qu'elle fasse appel à un tech de chez Bouygues pour résoudre ses prétendus problèmes de connexion à l'origine de toute l'affaire (j'ai oublié de le préciser dans ma question, désolé).  
 
Là, je suis sur Server, connecté à la box en question, mais avec des règles de pare-feu différentes de celles de Windows 10, et des outils de détection plus efficaces. Moins de services à la noix qui cachent tout et n'importe quoi aussi, ça aide.  
 
Je vais voir. Si les symptômes persistent, je reviens vers toi. Tu prends la carte de tiers-payant, j'espère ! :-)  
 
Merci en tout cas, pour ton aide.

n°1119331
rufo
Pas me confondre avec Lycos!
Posté le 17-05-2020 à 14:36:53  profilanswer
 

Si le techos travaille chez Free, a priori, il n'a pas les codes du compte root d'une BBox. Donc, ce qu'il aura fait peut être annulé par un reset usine de la box. Donc, quasi aucune chance qu'il ait introduit un virus via le wifi.
 
Pas de souci pour le tiers-payant. Je prends aussi les tickets restos :D
 
Si tu n'es pas familier avec les virus et leur conception, je peux t'envoyer un petit PPT explicatif que j'avais fait pour sensibiliser à la sécu les parents de l'école de mes enfants. Ce qu'on voit à la TV est généralement pas du tout conforme à la réalité et du coup, ça met dans la tête des gens pleins de bêtises qui vont dans les 2 sens : soit qui surestime ce qu'on peut faire, soit qui sous-estime.


---------------
Astres, outil de help-desk GPL : http://sourceforge.net/projects/astres, ICARE, gestion de conf : http://sourceforge.net/projects/icare, Outil Planeta Calandreta : https://framalibre.org/content/planeta-calandreta
n°1119340
UglyStuff
Posté le 17-05-2020 à 16:19:23  profilanswer
 

Pour le PPT, je prends, du moment qu'il n'est pas vérolé... ;-)  
 
Pour le reste, le hic, c'est qu'avec cette Bbox, apparemment, n'importe qui peut s'introduire sur la page d'admin si il y est invité par l'admin lui-même, ce que ma coloc semble avoir été à un moment ou à un autre. Elle n'y connait pas grand chose, mais son collègue a pu bidouiller un truc ou un autre.  
 
Il n'y a pas de NAS rattaché, donc a priori pas de possibilité d'uploader un contenu vérolé ou un autre, mais ça me semble trop gros pour être juste une coïncidence.  
 
L'OS de la box est sous Linux, comme souvent, donc quelqu'un qui s'y connait un peu doit pouvoir retrouver un port ouvert sur un PC connecté (via nmap, par exemple : https://fr.wikipedia.org/wiki/Nmap, ou comme décrit ici : https://www.papygeek.com/hacking/pi [...] econdes/).  
 
Ainsi, en allant sur https://www.yougetsignal.com/tools/open-ports/, je découvre que le port SSL (443) est ouvert sur mon PC et sur la box (les autres ports courants sont fermés)...

n°1119343
rufo
Pas me confondre avec Lycos!
Posté le 17-05-2020 à 16:28:16  profilanswer
 

Le port 443 ouvert sur ton PC, c'est normal, c'est pour des communications chiffrées.
Pour modifier l'OS d'une box, faut avoir le compte root (qui n'est pas le compte admin du particulier qui a la box).
"n'importe qui peut s'introduire sur la page d'admin" ---> Tu parles du compte "admin" du particulier pas du compte "root" accessible en SSH ou via un autre protocole de connexion à distance utilisé pour faire les MAJ du firmware de la box.
 
Encore une fois, un effet de virus qui commence 2j après, c'est peu probable. T'as qu'a lancé un Malwarebyte pour vérifier ou un scan en ligne. Mais si tu étais réellement infecté par un virus, il est fort probable que tu ne pourrais plus aller sur une page web d'un éditeur d'antivirus car c'est l'une des premières chose qu'un virus désactive : l'antivirus local au PC et l'accès aux antivirus en ligne.


---------------
Astres, outil de help-desk GPL : http://sourceforge.net/projects/astres, ICARE, gestion de conf : http://sourceforge.net/projects/icare, Outil Planeta Calandreta : https://framalibre.org/content/planeta-calandreta
n°1119345
UglyStuff
Posté le 17-05-2020 à 16:41:11  profilanswer
 

Justement, concernant l'accès à la recherche d'un antivirus en ligne, c'est ce qui m'est arrivé : j'ai recherché sur Google comment télécharger Immunet, et j'ai eu l'installer online, qui n'a jamais réussi à télécharger et installer les fichiers d'installation...  
 
J'ai recherché Avast offfline, et rien sur la première des (au moins) dix pages de réponses, je passe sur la page 2, et là, je vois qu'il n'y a plus que 2 pages de réponses, les dernières en polonais ou je ne sais quoi, et rien sur un installeur offline pour Avast. Puis je me suis rappelé que j'en avais gardé un sur une carte SD, que j'ai introduite dans mon PC et j'ai pu installer Avast, qui n'a rien trouvé, mais bon.  
 
Pour le reste, comme tu dis, avec une connexion SSH, quelqu'un qui travaille chez un FAI peut sans doute se connecter en root sur la box (même d'un concurrent ; les informations circulent entre techs de tous les les FAI). Si ça se trouve, le mot de passe root sur cette box c'est "root" ou "toor", comme au bon vieux temps de Knoppix).  
 
Bon, là, je suis sur Server 2019, avec un VPN, et tout baigne, mais ma partition Windows 10 Pro est en exil, du coup. Et ça m'ennuie un peu.

n°1119347
rufo
Pas me confondre avec Lycos!
Posté le 17-05-2020 à 17:02:05  profilanswer
 

Immunet, tu vas pas chercher le plus connu  :heink:  
Kaspersky, Antivir, AVG, Avast, Norton (quoi que celui-là, je ne sais pas s'il existe encore), malwarebyte... Au passage, Win10 a déjà un antivirus intégré donc, pour un particulier, pas obligé en mettre un en plus.
 
Oui, les tech des FAI perlent entre eux. Mais comme expliqué, se connecter en root sur la box d'un concurrent pour y introduire un virus, c'est bien trop risqué pour lui s'il se fait chopper -> prison puis pôle emploi où bon courage pour retrouver un boulot après un coup de ce genre :/
 
"ma partition Windows 10 Pro est en exil" --> que veux-tu dire par là :??:
 
Tien, voici un lien sur un fichier zip contenant 2 supports de formation en PDF, comme ça pas de pb : https://we.tl/t-1g0fBKj0YX
L'un explique les bases de la sécurité, l'autre le fonctionnement d'un PC, ces 2 notions étant couplées.


---------------
Astres, outil de help-desk GPL : http://sourceforge.net/projects/astres, ICARE, gestion de conf : http://sourceforge.net/projects/icare, Outil Planeta Calandreta : https://framalibre.org/content/planeta-calandreta
mood
Publicité
Posté le 17-05-2020 à 17:02:05  profilanswer
 

n°1119359
UglyStuff
Posté le 17-05-2020 à 18:57:53  profilanswer
 

Quand je parle de partition en exil, je veux dire que j'évite depuis quelques jours de démarrer mon PC sur Windows 10, et je suis sur Windows Server en ce moment.  
 
Pour le reste, je suis d'accord avec toi sur le principe, mais j'ai quelques doutes sur le fait qu'une intrusion sur un réseau domestique à la demande d'une utilisatrice tombe à ce point sous le coup de la loi. Le gars aura juste à dire qu'il voulait dépanner sa collègue en galère d'internet et ça passera crême.  
 
Je vais jeter un coup d'oeil aux supports que tu m'envoies.  
 
Pour ce qui est de l'AV, j'ai l'habitude d'utiliser Immunet sur Server, c'est très efficace, avec des overheads limités, et complémentaire de l'anti-malware de Microsoft. Les autres, je les évite comme la peste, sauf Avast, dont la version gratuite ne fonctionne pas sur Server, hélas.  
 
J'ai eu une très mauvaise expérience avec Kaspersky et ESET il y a deux ans, avec réinstallation problématique à la clé, donc plus jamais. AVG et Avast, c'est kif-kif, désormais, et pour ce qui est de Norton, je préfère m'abstenir... :-)

n°1119364
rufo
Pas me confondre avec Lycos!
Posté le 17-05-2020 à 19:29:43  profilanswer
 

Il ne s'agit pas juste d'une intrusion : toi, tu parles que le gars a mis un virus sur ton PC suite à cette intrusion. Il s'agit d'une pénétration non autorisée sur une machine qui n'appartient pas à l'intrus pour y déposer un virus: c'est puni par la loi.


---------------
Astres, outil de help-desk GPL : http://sourceforge.net/projects/astres, ICARE, gestion de conf : http://sourceforge.net/projects/icare, Outil Planeta Calandreta : https://framalibre.org/content/planeta-calandreta
n°1119474
UglyStuff
Posté le 18-05-2020 à 08:59:21  profilanswer
 

Encore faut-il le prouver... Bon, pour l'instant, tout semble rentré dans l'ordre, du moins sur le Server. Je vais voir ce que je peux faire côté Windows 10. Merci pour ton aide !

n°1119476
webmail-75​000
Posté le 18-05-2020 à 09:05:30  profilanswer
 

tu as testé avec un live cd linux comme proposé?
et honnêtement monter un server2019  pour un ftp pour des documents sensibles laisses moi rire... le ftp n'a rien de sécurisé, les couples identfiants/mot de passe passent en clair sur le réseau!
 
D'ailleurs tu dis que tu es actuellement sur ton winserver, donc tu surfes depuis ton server?
 
Si tu ne souhaites pas reinstaller, commence pas scanner tes ordis avec malwarebytes, et des antivirus à jour
 
Pour tes soucis s'ils ne se produisent plus sous linux, tu devrais reinstaller ton/tes windows après avoir vérifier tes bakcups afin de ne pas perdre de données.


---------------


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Réseaux grand public / SoHo
  Sécurité

  [Résolu] Possible infection sur réseau local (Bbox) ?

 

Sujets relatifs
Gestion de réseauDisque dur partagé sur le réseau en wifi ?
Reseau wifi unique te plus performantReprise en main de mon réseau
Plantage reseau !!installation fibre orange, quelle reseau pour mes pcs, tv et ps4
debit faible avec cpl local mais pas sur internet2 sagembroadcom et 3 ingenico inconnues sur mon réseau
2 sagembroadcom et 3 ingenico inconnues sur mon réseauAide pour réseau RJ45
Plus de sujets relatifs à : [Résolu] Possible infection sur réseau local (Bbox) ?


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR