Discussion :

[protogyna]

Bonjour. Depuis un certain temps, on accède à mon activité globale sur le net. On accède aux pages que je visite, aux e-mails que j'envoie, à mes conversations hangout sur gmail... Je ne sais pas vraiment si ça provient directement de mon ordinateur (donc un virus) ou de mon réseau. Néanmoins, j'ai recouru à plusieurs antivirus, à wireshark, à un formatage de bas niveau, à une analyse du bios, et je n'ai rien détecté de particulier. Donc déjà, puis-je exclure l'hypothèse du virus ? Ou bien existe-t-il des virus assez puissant pour résister à tout cela ? Je suis certain qu'il n'y a pas eu d'accès physique.

Si ça provient de mon réseau, qu'est-ce que ça pourrait être ? Un accès à ma box ? Est-ce possible sans accès physique ? Comment puis-je empêcher cela ? Peut-il y avoir accès à mes conversations hangout par cet intermédiaire ?

Merci.

[JML19]

Bonjour

Tu as protégé le Wifi de ta Box ?

[protogyna]

Oui, je l'ai déjà fait.

[JML19]

Comment sais tu que quelqu'un a accès à tes données ?

[protogyna]

Hum, c'est une histoire assez compliquée. Je passe les détails. Néanmoins, on réutilise régulièrement mes données contre moi et ainsi de suite. Il y a évidement eu des preuves concrètes. Des gens de mon entourage sont eux aussi au courant et ne comprennent pas non plus comment c'est possible. Donc ma question c'est avant tout de savoir comment un virus pourrait résister au formatage de bas-niveau, à wireshark etc.

[JML19]

Aucun Virus actuel ne peut résister à un formatage.

Le formatage de bas niveau n'existe plus.

[protogyna]

Très bien, merci. Dans ce cas, en admettant que le problème vient de mon réseau, comment suis-je censé m'y prendre pour y remédier ? Comment s'y prendrait-on pour accéder à ma box par exemple ?

[JML19]

Pour accéder à la Box il y a le Wifi.

Autrement il faut utiliser une prise réseau directement sur la Box.

[BufferBob]

pour un magicien la magie ça s'explique, alors que pour le spectateur dans le public c'est difficile à comprendre ("magique" donc), souvent parce qu'il ne regarde pas au bon endroit.

si on en est à envisager un virus qui résiste au formatage, qui est totalement invisible à winpcap etc. soit tu t'es mis à dos un hacker aussi compétent que bête à manger du foin (ça peut arriver...), soit le problème n'est pas sur l'ordinateur, un micro espion ? une caméra miniature ? un colocataire fourbe ? etc.

dans tous les cas peu importe comment le gars s'y prend, si il a réalisé une intrusion dans tes données ou ta vie personnelle c'est un acte puni par la loi, tu peux aller porter plainte et t'arranger pour que l'info arrive à ses oreilles par exemple, si en plus c'est clairement cette personne là très identifiée qui te harcèle, voir débarquer les flics ou les gendarmes devrait lui rappeler qu'il n'est pas tout puissant

par contre demander comment faire pour accéder à une box depuis l'extérieur etc. oublie tout de suite; les magiciens ne révèlent jamais leurs secrets

[protogyna]

Ca m'a pas l'air d'être un moyen matériel. Personnellement, j'opterais plutôt pour un virus ou un accès à mon réseau. Sachant tout ce que j'ai déjà fait, y a t-il d'autres outils qui me permettraient de détecter cela ?

[tanaka59]

Bonjour,

Ce qu'il peut arriver.

Quelqu'un dispose d'un accès à ta box internet (par quel tour de passe , c'est bien la toute la question). Clef craqué, logiciel douteux , piratage de box , quelqu'un disposant encore de ta clef ...

Une fois sur ce réseau wifi l'intru/ou la personne non autorisé peut avoir accès aux mails et / ou interface de l'opérateur qui fournit la box de la personne. Dans les paramètres de la box certains utilisateurs garde en mémoire la connexion à leur compte opérateur par défaut avec l'adresse mail qui va bien... C'est le cas chez orange sur les livebox ZTE, sagecom et aussi sur les box noires pro ...

Résultat des courses en vacances une fois j'ai entendu le proprio d'un gite se plaindre que quelqu'un avait accès a ces mails pro et perso ... . On lui a gentiment expliqué qu'il avait laissé coché par défaut que tout utilisateur de son réseau de sa box , peut avoir accès à ces mails et compte opérateur .

Pour ma part une box internet c'est comme un serveur. On ne laisse pas tout le monde y avoir accès . Et on laisse encore moins les comptes opérateurs accessible.

Imaginé que quelqu'un résilie l'abonnement à votre place ou fait du black market ...

[BufferBob]

Quelqu'un dispose d'un accès à ta box internet

très improbable. la "box" c'est justement pas un serveur classique, tu mets pas les pieds dessus en ssh ou en telnet comme si de rien n'était, encore moins de l'extérieur

le plus probable ce serait un bête sniffing du traffic une fois le wifi cassé, le voit passer les trames http, éventuellement les mails en clair selon ton opérateur (certains ne chiffrent pas la connexion entre l'abonné et leur pop/smtp, c'est encore moins safe que d'avoir un paramètre à autoriser explicitement ), par contre ça exclue toute modification de fichier sur la machine

bon, le PO dit qu'il sait, il veut pas en dire plus et il n'est manifestement pas expert en sécurité non plus mais il est certain que c'est un virus... partant de là y'a pas grand chose à ajouter, si le but c'est de mener l'enquête, décortiquer méthodiquement d'où peut provenir le problème il faut plus d'infos que ça, mais si le propos c'est juste d'écrire une ligne dans son histoire personnelle "il m'est arrivé un truc de ouf", autant prévenir tout de suite, ça nous évitera de poser des questions indiscrètes

Imaginé que quelqu'un résilie l'abonnement à votre place ou fait du black market ...

ou pire, qu'il trouve l'adresse postale et embauche une équipe de tueurs à gage pour venir vous dessouder dans votre sommeil ou qu'ils enlèvent votre famille pour leur prendre leurs organes et les revendre à des cannibales psychopathes !!!
bon finalement je crois qu'il vaut mieux s'en tenir aux faits et éviter le sensationnalisme paranoïaque ^^

quelques faits à propos des vilains hackers :
- la très large majorité ont un niveau technique faible (je pourrais presque retrouver le MISC dans lequel j'ai lu cette phrase)
- cibler quelqu'un en particulier, c'est _très_ difficile
partant de là il faut privilégier en priorité les choses évidentes et réalistes, le scénario du vilain avec qui on s'est pris la tête sur internet qui nous cible exprès ensuite, c'est un scénario idéaliste qui n'arrive en réalité qu'extrêmement rarement
et comme dit plus haut, tout ça n'a rien de magique, sinon tu prends ta baguette magique et tu composes le 17, bien utilisé c'est un sort assez puissant.

[protogyna]

Je ne suis pas certain que c'est un virus, mais je suis certain qu'on accède à mes conversations hangout, à mes mails (sur gmail donc), et à mon activité globale sur le web, donc je me demande voyez-vous. Je ne suis pas expert en sécurité, mais je m'y connais au moins assez pour affirmer indubitablement que je ne méprends pas quant à l'accès dont je parle. Je veux dire, je ne fais pas une piètre analogie avec les h4ckers ou je ne sais quoi. Si je ne raconte pas exactement ce qu'il se passe, c'est surtout parce que ce serait trop fastidieux. Qui plus est il me semble inutile de faire part des détails qui m'ont conduit à conclure qu'on accédait à mon activité sur le web, car je suis certain que c'est le cas. Je n'attends pas de confirmation de ce côté là, j'attends simplement qu'on m'évoque des possibilités qui pourraient être cohérentes que je puisse situer d'où peut provenir le problème et le régler en fonction. Donc moi la seule chose que j'affirme c'est - je le répète - qu'on accède à mon activité web. Au moins aux URL que je visite, à mes conversations hangout et à mes mails. Je ne suis pas certain que c'est un virus, mais ma connaissance est trop limité pour que je sois en mesure de prétendre que ça puisse être autre chose, alors je tends plutôt vers cette hypothèse. Mais si on m'évoque un autre moyen qu'aurait pu employer le "hackeur", je suis tout à fait preneur. D'ailleurs, il ne faut pas omettre que j'ai tout de même effectué un formatage de bas-niveau, c'est un élément à prendre compte, car je ne vois pas comment - avec ma humble connaissance - un virus pourrait persister à cela. Voilà, donc si quelqu'un est en mesure de m'éclairer... Après quant aux faits plus personnels, je peux tout de même préciser qu'il s'agit d'un peu plus qu'un simple enfantillage (bien que c'en est pas loin), et que de ce fait, les moyens employés peuvent être - je suppose - plutôt sophistiqués. Mais j'aimerais tout de même préciser une fois de plus qu'il ne s'agit aucunement d'un scénario idéaliste, eheh.

Quant à moi je me questionne surtout quant aux moyens employés. Certes en ne fournissant aucun détail précis quant à cet histoire, vous pouvez être conduit à penser qu'il va être quelque peu difficile de mener l'enquête, mais j'ai tout de même parlé du formatage de bas-niveau, de l'accès global au web etc. Je veux dire, à partir de là, il doit déjà plus rester une infinité de possibilités. Si vous deviez procéder par élimination suivant les détails que j'ai fourni, que resterait-il comme solution plausible ?

"le plus probable ce serait un bête sniffing du traffic une fois le wifi cassé, le voit passer les trames http, éventuellement les mails en clair selon ton opérateur (certains ne chiffrent pas la connexion entre l'abonné et leur pop/smtp, c'est encore moins safe que d'avoir un paramètre à autoriser explicitement ), par contre ça exclue toute modification de fichier sur la machine"
Pourrais-je avoir plus de renseignements ? Est-ce que un tel moyen permettrait d'accéder à mes conversations hangout (le chat sur gmail). Merci.

Et si le firmware de mon routeur avait été modifié par un étranger et que cet étranger utilise celui-ci en tant que serveur proxy pour se connecter à mes comptes (afin d'utiliser mon adresse I.P pour rester dissimulé). C'est envisageable ? Le firmware alors modifié pourrait-il intercepter et renvoyer mes données et même celles qui transitent sous le protocole HTTPS ? C'est faisable ou pas ?

[chrtophe]

Google garde ton historique de navigation, accessible dans ton compte. Si quelqu'un a accès à ton compte Google, il a accès à ton historique, tes mails, etc. Sans nécessité de grands moyens.

Nous n'avons pas assez d'éléments pour aller très loin.

Changes tes mots de passe, actives l'authentification à deux niveaux (via ton mobile pour Google par exemple), changes tous tes mots de passe : wifi, faceboook, mails, autres comptes et un service=1 mot de passe.

Google garde en bas les IP ayant accédé récemment au compte.

[protogyna]

Je suis bien entendu déjà passé par là. Je pense que j'ai fait toutes les vérifications basiques qu'on peut faire et que ça ne provient pas de là. Ca m'a l'air un peu plus compliqué que cela. Faudrait au moins qu'on puisse se connecter à mon compte gmail tout en passant totalement inaperçu, or je ne pense pas que ce soit possible.

[protogyna]

Personne ? Rien de rien ?

[SkyZoThreaD]

As-tu eu des avertissements de navigateur concernant des certificats ssl cassés ? Du genre "attention le certificat n'est pas signé" ?
Le wifi des box est toujours facilement cassable avec un bon GPU et s'il est utilisé. Une foi sur le LAN, il est possible d'intercepter le réseau par MITM, puis les mots de passe par SSL spoofing.
Les antivirus avancés en version complètes (avec modules de protection réseau) peuvent bloquer ce genre d'attaques mais normalement les navigateurs détectent les certificats invalides et préviennent. D'où ma question de départ.

[protogyna]

Dans tous les cas, il n'y a nullement eu la moindre connexion directe à quel compte que ce soit. En tout cas, pas sur les sites qui répertorient les dernières connexions. Or, je me plains justement qu'on ai accédé à mes données gmail (conversation hangout en particulier). De ce fait, le fait qu'on ai pu obtenir mon mdp ou non ne me semble pas être une piste intéressante à exploiter. Faut vraiment s'orienter vers une méthode infaillible qui permet d'avoir un accès précis et constant à mon activité sur le web. C'est pour cela que l'hypothèse du virus me semble être la plus pertinente. Néanmoins, en tant que j'ai déjà fait un formatage de bas-niveau, je suppose que si c'est cela, il s'agit nécessairement d'un virus logé directement sur mon bios : ma carte mère ou graphique pourrait être infectée par exemple. En ce cas, je me demande s'il y a un outil assez sophistiqué qui me permettrait de détecter quelque chose et de l'éradiquer pour de bon.

[JML19]

Bonjour

il s'agit nécessairement d'un virus logé directement sur mon bios : ma carte mère ou graphique pourrait être infectée par exemple. En ce cas, je me demande s'il y a un outil assez sophistiqué qui me permettrait de détecter quelque chose et de l'éradiquer pour de bon.

Là je crois que tu rêves un peu, un virus de BIOS, de carte graphique ou de carte mère.

On peut changer un vecteur d'interruption pour qu'il pointe ailleurs, j'ai déjà fait cela j'ai même formé des BTS informatiques industrielles à le faire.

Mais de toute façon il faut réécrire la routine d'interruption.

Pour faire cela il faut des spécialistes en langage machine ou assembleur, ce qui limite le nombre d'intervenant au Pays de l'Est ou au Chinois.

Les États Unis pourraient faire aussi ce type de virus, mais c'est risqué chez eux, car forcément celui qui fait cela est déjà un grand Pro il prendrait d'énormes risques.

Ensuite il y a la NSA, alors là, avec elle tout est possible, puisqu'elle est déjà dans toutes nos machines PC ou MAC.

[BufferBob]

Les États Unis pourraient faire aussi ce type de virus, mais c'est risqué chez eux, car forcément celui qui fait cela est déjà un grand Pro il prendrait d'énormes risques.

on sait faire aussi en France, mais ceux qui font ça ont vraiment d'autres choses à faire qu'aller lire les hangouts gmail d'un particulier qu'a rien fait
+1 sur le fait qu'on parle de "possibilité théorique" et d'absolument pas quelque chose de courant