Discussion :

[domiacece]

Bonjour à tous,

J'espère ouvrir la discussion au bon endroit.
Je viens de remarquer en parcourant l'historique de sécurité de mon antivirus (mcafee), qu'il y avait un grand nombre de connexions réseau entrantes suspectes bloquées. Par exemple, en 24 h, j'en ai eu 140. Voici le type de message : "Connexion réseau entrante suspecte bloquée Adresse IP source : xxxxxxx L'ordinateur xxxxxx a tenté de se connecter au port xxxxx sur votre ordinateur et ce sans votre autorisation". L'adresse IP "source" change souvent, et le numéro de port aussi. S'agit-il d'une attaque de type scan de ports ? Dois-je m'en inquiéter ? Que dois-je faire ? merci d'avance.

Cece.

[sevyc64]

140 tentatives en 24h, soit une toutes les 10min, c'est très très peu. Beaucoup serait plutôt de l'ordre de plusieurs à la minute voire plusieurs à la seconde.

Tant que le parefeu les bloquent, il n'y a pas lieu de s'inquiéter.

Il y a bien tentative de connexion à ta machine à un service potentiellement existant. Mais tentative ne signifie pas pour autant attaque. Ca peut très bien être des tentatives légitimes.
De nombreux logiciels connectés au net, à un serveur généralement, possèdent des fonctions annexe. Les serveurs peuvent essayer de se connecter aux machines régulièrement pour vérifier la présence de ces connexions. Ça peut être des logiciels de prise de contrôle à distance, type logmein, teamviewer, ..., des logiciels de communication comme Skype, ou des logiciels de chat ou tout autre types de logiciels connectés.

Si tu utilise aussi des logiciels de P2P, tu communique ton adresse à de nombreux pairs. Leurs logiciels correspondant peuvent, en retour, tenter de se connecter pas toujours sur les bons ports.

Etc, etc ...

Bref, vu le volume, non il ne s'agit ps d'une attaque à proprement parlé. Un scan peut-être mais fait par un robot asthmatique alors. Encore faut-il voir les ports utilisés, et les adresses sources. En faisant un whois sur les ip sources tu peux avoir un début d'informations sur qui tente.

[domiacece]

Re Bonjour,

merci beaucoup pour ta réponse rapide et claire.
J'ai fait un whois des adresses ip sources en questions, elles correspondent à des organismes tels que Microsoft Corp, Google Inc, Orange, Mcafee, OVH, EdgeCast, Telecom tiscali, Twitter, Réseau National de télécommunications pour la Technologie, Time warner cable, et amazon. ça n'a donc pas l'air très méchant. Je suis sans doute trop parano.

[Ptrous1984]

le fait que l'anti-virus bloque ces adresses n aurait pas d'impact sur le bon fonctionnement des programmes liés?

[sevyc64]

Il est évident que le blocage perturbe les fonctionnalités des logiciels qui voient leur transfert bloqué.

Les conséquences peuvent de nulles si la fonctionnalité est plus qu'annexe dans le logiciel à un dysfonctionnement complet du logiciel.
C'est pour cela qu'il est parfois nécessaire d'ouvrir certains ports dans les parefeux pour que ces logiciels puissent fonctionner