Admettons le scénario suivant :
Vous venez de vous faire hacker, vous en êtes certain car vous avez identifié uneactivité suspecte sur votre ordinateur.
Vous êtes donc stressé, vous supprimez rapidement tous les programmes suspects récemment téléchargés, vous lancez un scan avec votre anti-virus.
Et …
Et rien.
Votre anti-virus ne détecte rien, quelqu’un s’est connecté à votre compte mais qui ? et comment ?
Et puisque vous avez supprimé le programme suspect, si déjà vous l’aviez trouvé, on ne peut plus du tout pister un hacker éventuel.
C’est là que je reçois souvent des appels à l’aide car « je dois avoir un programme pour régler tout ça ».
Non je n’en ai pas.
Mais j’ai des méthodes faciles et rapides (bon ok, c’est relatif) à mettre en place pour pister un Hacker.
Revenons donc en arrière.
A partir du moment où on a reconnu une intrusion, il faut certes lancer un scan mais déjà ouvrir le Gestionnaire Des Tâches de Windows (CTRL + SHIFT + ECHAP) et identifier le programme suspect dans l’onglet Processus.
Ce n’est pas facile pour tous, je sais. Vous pouvez donc télécharger HijackThis qui vous donnera un rapport détaillé des fichiers de votre ordinateur.
Vous pouvez également analyser le fichier log résultant en ligne, ou si vous ne comprenez vraiment pas (et dans ce cas uniquement) me contacter avec ce fichier log en main.
Enfin, ouvrez l’éditeur du registre (tapez regedit.exe dans la barre de recherche du menu démarrer) et ouvrez la cléHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runpuis supprimez tous les champs contenant des programmes suspects car les programmes listés ici se lanceront automatiquement à chaque démarrage de l’ordinateur.
Gardez donc ces programmes suspects sous la main / dans la zone de quarantaine en les changeant de dossier et en évitant bien sûr de les exécuter. Nous verrons dans un instant pourquoi les garder.
C’est long, dur ou chiant ? Vous souhaitez trouver qui vous a piraté ? Si oui alors faites-le sinon vous pouvez partir.
Mise en pratique
Puisque j’aime les mises en pratique
Prenons un exemple qui même en 2013 est toujours d’actualité. Admettons que je navigue sur Youtube et que je tombe sur une vidéo géniale permettant de hacker un compte Facebook en 2 secondes !!
Je clique naïvement sur le lien dans la description et je télécharge cet excellentprogramme au design digne d’un Philippe Starck.
Seulement au lieu de l’exécuter et à la vue de l’interface graphique, je sais que ce programme (comme 99% des programmes de ce genre) est codé avec un langagedotnet. C’est à dire un langage de Microsoft comme le VB.NET ou le C#.
Ces langages ne sont pas directement compilés en code binaire mais en code MSILqui est un langage intermédiaire commun à tous les langages dotnet. Ce code, on peut le « décompiler » très facilement et donc retrouver le code source initial.
Pour cela on va utiliser .NET Reflector, je fais un glisser-déposer du programme que je viens de télécharger dans la fenêtre de Reflector.
Et, pas d’erreur à signaler ! Le programme fait bien partie de la famille dotnet !
J’ouvre donc le contenu en appuyant sur les petits « + » jusqu’à tomber sur un élément appelé Identifiants.
Et que vois-je, une méthode appelée Button1_Click(Object, EventArgs) : Voidqui correspond visiblement à l’action effectuée lors d’un clic sur un bouton : (cliquez pour agrandir)
On voit :
- Le compte du hacker et son mot de passe pour ce compte (car le programme en a besoin pour se connecter au service de messagerie)
- L’adresse du destinataire est la même que celle de l’émetteur (il s’envoie un message à lui-même)
- Il met dans le corps du message « nouvelle victime » et les champs que la victime a rempli (txtEmail et txtMotDePasse)
- Il affiche un faux message d’erreur.
Nous savons donc à qui nous avons affaire, et nous avons en prime son mot de passe.
Note :
Cela fonctionne aussi bien pour les identifiants FTP d’un site.
0 commentaires:
Enregistrer un commentaire