Comment pister un Hacker
Admettons le scénario suivant :
Vous venez de vous faire hacker, vous en êtes certain(e) car vous avez identifié une activité suspecte sur votre ordinateur.
Vous êtes donc stressé(e), vous supprimez rapidement tous les programmes suspects récemment téléchargés, vous lancez un scan avec votre anti-virus.
Et …
Et rien.
Votre anti-virus ne détecte rien, quelqu’un s’est connecté à votre compte mais qui ? et comment ?
Et puisque vous avez supprimé le programme suspect, si déjà vous l’aviez trouvé, on ne peut plus du tout pister un hacker éventuel.
C’est là que je reçois souvent des appels à l’aide car « Michel doit avoir un programme pour régler tout ça ».
Non je n’en ai pas.
Mais j’ai des méthodes faciles et rapides (bon ok, c’est relatif) à mettre en place pour pister un Hacker.
Revenons donc en arrière.
A partir du moment où on a reconnu une intrusion, il faut certes lancer un scan mais d’abord couper le réseau pour éviter toute propagation. Puis ouvrir le Gestionnaire Des Tâches de Windows (CTRL + SHIFT + ECHAP) et identifier le programme suspect dans l’onglet Processus.
Ce n’est pas facile pour tous, je sais. Vous pouvez donc télécharger HijackThis qui vous donnera un rapport détaillé des fichiers de votre ordinateur.
Vous pouvez également analyser le fichier log résultant en ligne, ou si vous ne comprenez vraiment pas (et dans ce cas uniquement) me contacter avec ce fichier log en main.
Enfin, ouvrez l’éditeur du registre (tapez regedit.exe dans la barre de recherche du menu démarrer) et ouvrez la clé HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run puis supprimez tous les champs contenant des programmes suspects car les programmes listés ici se lanceront automatiquement à chaque démarrage de l’ordinateur.
Note (merci à Gwillerm pour les détails apportés) : il n’y a évidement pas que cette clé de registre qui est concernée. Vous pourrez utiliser le logiciel Autoruns de Sysinternals pour automatiser la recherche des programmes au lancement automatique.
Gardez donc ces programmes suspects sous la main / dans la zone de quarantaine en les changeant de dossier et en évitant bien sûr de les exécuter. Nous verrons dans un instant pourquoi les garder.
C’est long, fastidieux ou ennuyant ? Vous souhaitez trouver qui vous a piraté ? Si oui alors essayez au moins, car vous n’avez rien à perdre ;).
Pister un hacker en pratique
Prenons un exemple qui est toujours d’actualité. Admettons que je navigue sur Youtube et que je tombe sur une vidéo géniale permettant de hacker un compte Facebook en 2 secondes !!
Je clique naïvement sur le lien dans la description et je télécharge cet excellent programme au design digne d’un Philippe Starck.
Seulement au lieu de l’exécuter et à la vue de l’interface graphique, je sais que ce programme (comme 99% des programmes de ce genre) est codé avec un langage dotnet. C’est-à-dire un langage de Microsoft comme le VB.NET ou le C#.
Ces langages ne sont pas directement compilés en code binaire mais en code MSIL qui est un langage intermédiaire commun à tous les langages dotnet. Ce code, on peut le « décompiler » très facilement et donc retrouver le code source initial. Il est important de noter qu’on ne passe pas outre des protections mais qu’il s’agit bien du comportement standard des programmes dits « managés » (pas de compilation en code machine, mais en code intermédiaire).
Pour cela on va utiliser .NET Reflector, je fais un glisser-déposer du programme que je viens de télécharger dans la fenêtre de Reflector.
Et, pas d’erreur à signaler ! Le programme fait bien partie de la famille dotnet !
J’ouvre donc le contenu en appuyant sur les petits « + » jusqu’à tomber sur un élément appelé Identifiants.
Et que vois-je, une méthode appelée Button1_Click(Object, EventArgs) : Void qui correspond visiblement à l’action effectuée lors d’un clic sur un bouton : (cliquez pour agrandir)
Rien de spécialement malveillant dans ce code, sachant qu’il permet d’envoyer un simple e-mail. Un simple e-mail qui nous donne cependant des informations sur le contenu qui sera envoyé.
On voit :
- Le compte du hacker et son mot de passe pour ce compte (car le programme en a besoin pour se connecter au service de messagerie).
- L’adresse du destinataire est la même que celle de l’émetteur (il s’envoie un message à lui-même).
- Il met dans le corps du message « nouvelle victime ».
- Il affiche un faux message d’erreur.
Nous savons donc à qui nous avons affaire, et nous avons en prime son mot de passe.
« Nous savons donc qui est le pirate, et nous avons même son mot de passe »Cliquez pour tweeterPartager sur FacebookPartager sur LinkedInNote :
Cela fonctionne aussi bien pour d’autres informations que l’apprenti pirate nous laisse gentiment/naïvement.