Live MSN : Faille de sécurité

[kadden]

Bonjour,

Il y'a quelques temps j'ai posé une question, concernant un problème de sécurité que j'ai eu,

J'allume mon PC, et je trouve que l'interface MSN est changé, portant le login et la photo d'une personne qui habites à 3500 Km de chez moi dans un autre continent.

Bon j'ai cherché comment il a pu faire ça, j'ai cherché les spyWar et malwar et Trojan sur mon PC, RIEN.

Après 3 mois, je travaillais sur mon PC, et un message Windows me signale qu'il y'a un conflit d'adresse IP (privé), sachant que je suis le seul connecté sur ma FreeBox, ça ne pouvait venir que de l'extérieur

Soudain :
1) Le message de conflit d'adresse disparaît
2) Live MSN s'ouvre tout seule
3) L'interface de MSN portait bien la photo et le login de cette personne

1) Sachant que j'ai tout les outils de sécurité (SpyBot + Macafé)
2) Sachant que cette personne n'a jamais touché à mon PC
3) Que je n'ai jamais accepté aucun fichier venant de cette personne même pas une photo ou même un simple Email

Conclusion :
Live MSN présente une faille de sécurité, et maintenant reste à voir laquelle.

Merci pour votre participation.

[spawntux]

Bonjour,

Conclusion eronné faite sur de simple suposition en effet il peut y avoir de multiple methode d'infection et via WLM a jour il y a eu aucun poc de sortie depuis un bon moment les seuls attaques sont du a la negligence de l'user.

[kadden]

Citation:

Envoyé par spawntux

Bonjour,

Conclusion eronné faite sur de simple suposition en effet il peut y avoir de multiple methode d'infection et via WLM a jour il y a eu aucun poc de sortie depuis un bon moment les seuls attaques sont du a la negligence de l'user.

J'ai déjà étudié et pratiquer le control et sécurité.
Je ne suis pas expert, mais j'ai le niveau suffisant pour étayer des hypothèses et arriver à une conclusion,

- On connait l'origine d'une attaque ==> Une personne que je connais
- Le type de cette attaque ==> Modification de l'interface MSN
- Ecarter et suivre toutes les pistes via lesquelles peuvent venir l'attaque, tous est valide tous est OK, aucun Virus connu, aucun Spyware, aucun malware, aucun logiciel connecté sur Internet (Sauf navigateur internet), pas de clés USB ....

- La modification de l'interface MSN coïncide avec un conflit d'adresse IP privé ==>> Donc l'attaque est basé sur l'usurpation de mon adresse IP, ce qui permet à l'attaque de rentrer sans que le routeur FAI de free ne bloque.

L'attaque vient via un le seul Logiciel connecté sur Internet ==> Windows Live MSN.

[spawntux]

Bonjour,

Vue que tu parles sans vraiment étayer tes propos on vas faire un truc.

Prochaine attaque tu lances :

dans un cmd:

netstat -ano

juste derriere (rapidement) un :

tasklist

et en simultanée de tout ca tu fais une capture wireshark.

Voila une fois ca fait on pourrat ptet t'aider plus que tes suppositions non fondées.

[tigzy]

Jveux pas dire,

Citation:

1) Sachant que j'ai tout les outils de sécurité (SpyBot + Macafé)

J'espère que c'est pas avec ça que tu as "checké" la sécurité
Parce que ça vaut rien niveau detection.

* Télécharge sur le bureau RogueKiller (par tigzy)
* Quitte tous tes programmes en cours
* Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
* Sinon, lance simplement RogueKiller.exe.
* Lorsque demandé, tape 1 et valide
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse

[kadden]

Citation:

Envoyé par tigzy

Jveux pas dire,



J'espère que c'est pas avec ça que tu as "checké" la sécurité
Parce que ça vaut rien niveau detection.

* Télécharge sur le bureau RogueKiller (par tigzy)
* Quitte tous tes programmes en cours
* Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
* Sinon, lance simplement RogueKiller.exe.
* Lorsque demandé, tape 1 et valide
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse

Normalement SpyBoot est un bon outil, réputé et recommandé partout,
sinon votre outil "RogueKiller" fait quoi au juste ?..?

Merci.

[FailMan]

Citation:

Envoyé par kadden

Normalement SpyBoot est un bon outil, réputé et recommandé partout

Spybot est juste l'antimalware probablement le plus inefficace qu'il peut exister...

Dote-toi d'un bon antivirus, du programme cité plus haut, d'HiJackThis pour faire des rapports, et fais régulièrement des check d'antivirus en ligne. Ce n'est pas inutile non plus que de faire passer un coup d'antivirus sur ta partition Windows depuis un autre OS (un GNU/Linux type Ubuntu par exemple).

[tigzy]

Citation:

Normalement SpyBoot est un bon outil, réputé et recommandé partout,
sinon votre outil "RogueKiller" fait quoi au juste ?..?

Spybot ça fait environ 3-4 ans qu'il n'est plus efficace, et qu'il n'est plus recommandé. Ou alors il est recommandé par des personnes qui ne sont plus à la page

Pour mon outil, tout est expliqué sur la page principale

[kadden]

Citation:

Envoyé par FailMan

Spybot est juste l'antimalware probablement le plus inefficace qu'il peut exister...

Dote-toi d'un bon antivirus, du programme cité plus haut, d'HiJackThis pour faire des rapports, et fais régulièrement des check d'antivirus en ligne. Ce n'est pas inutile non plus que de faire passer un coup d'antivirus sur ta partition Windows depuis un autre OS (un GNU/Linux type Ubuntu par exemple).

Comment je pourrai lancer une analyse antivirus à partir d'unix,
je pensais qu'il n'existait aucun antivirus sous Unix ?

Merci

[FailMan]

Tu as quelques antivirus disponibles sous GNU/Linux, notamment ClamAV, disponible sur Ubuntu et Debian notamment. Pour les autres distributions je ne sais pas, renseigne-toi sur Google ou sur des sites spécialisés tels Lea-Linux.

[spawntux]

Avira tres bon AV fonctionne sous linux et possede meme un live CD ce qui est plutot tres interessant .

[kadden]

Donc si je comprends bien,
il suffit d'avoir Unix + Windows dans son Pc, pour ne pas à avoir à acheter un antivirus pour Windows, mais de lancer un Scan antivirus sur Windows à partir d'unix ?..?

[supersnail]

Bonjour,

Pas besoin d'installation, un simple CD suffit: en effet, Linux peut démarrer depuis un CD sans rien modifier sur l'ordinateur

Sinon j'opterais plûtot pour un virus modifiant l'interface de MSN.

Sinon par ailleurs, as-tu rencontré des problèmes quelconques pour accéder à Internet, te connecter à des sites web?

[kadden]

Non pas vraiment je n'ai pas eu de difficultés à acceder à des sites Web.

Pourquoi celà ?

[supersnail]

Bah si ton IP était réellement usurpée, je pense que tu aurais rencontré d'autres problèmes de connexion....

Donc pour moi, c'est juste un virus qui a modifié tes infos de connexion sur MSN

[Neexus]

Bonjour,

Le message du conflit d'adresse IP apparait-il a chaque démarrage de ton ordinateur ?

[kadden]

Citation:

Envoyé par Neexus

Bonjour,

Le message du conflit d'adresse IP apparait-il a chaque démarrage de ton ordinateur ?

Non pas tout le temps, mais je ne saurai dire si c'est souvent,
car le message s'affiche en info bulle et part rapidement sans que j'ai le temps de le voir.

Mais en tous cas oui le confllit arrive de temps à autres.

@ supersnail : On usurbe mon adresse privé et non mon adresse IP publique.

[tigzy]

Adresse privée? Tu veux dire que quelqu'un d'autre est sur le réseau local?

[kadden]

Citation:

Envoyé par tigzy

Adresse privée? Tu veux dire que quelqu'un d'autre est sur le réseau local?

Oui, cet personne connait l'adresse de mon routeur (publique),
et à travers ça, il usurpe mon adresse privé, se fait passer pour moi.
Donc tous ce que le routeur doit m'envoyer le lui envoi aussi.

[tigzy]

Je doute que ça marche comme ça...
La seule manière de recevoir des infos entre toi et le routeur, c'est de faire parti du réseau local.