Discussion :

[Titi29000]

Bonjour à tous

En regardant le log de ma box orange, j'ai remarqué qu'un matériel avec une adresse IP en 192.168.10.XXX tentait de s'introduire dans mon réseau.
Je ping bien cette adresse IP à partir de mon PC mais elle n'appartient pas à la liste de mes équipements.

J'ai effectué un tracert de l'adresse 192.168.10.XXX, il y a 3 lignes :

1 1 ms <1 ms <1 ms flybox.home [192.168.1.1]
2 162 ms 38 ms 43 ms 10.216.XX.X
3 1138 ms 40 ms 32 ms 192.168.10.XXX

Je pense que cet équipement n'est pas très loin de mon domicile, car il n'y a que 3 sauts.

J'ai essayé d'utiliser ping -A, nslookup et nbtstat pour obtenir plus de renseignements sur cet équipement, mais sans succès.
Egalement de connaitre le propriétaire de l'adresse IP 10.216.XX.X, mais c'est une IP privée, donc sans succès.

Pouvez-vous me donner quelques conseils pour en savoir plus ?
Suis-je victime d'un piratage ?
Faut-il aller à la gendarmerie pour connaitre le propriétaire de l'adresse 10.216.XX.X ?

Merci beaucoup pour votre aide.

Cordialement

[becket]

Salut,

Cette ip étant privée et routée, il est très peu probable que ce soit un piratage.

[Titi29000]

Bonjour et Merci Becket

Mais comment savoir qui se cache derrière cette adresse privée ?

[becket]

Ton fournisseur d'accès

[Incorporated]

Bonjour,

Il ne faut pas oublier un point important sur les Box des particuliers, c'est que celle-ci dispose, de base, d'un réseau Public sur lequel des personnes de l'extérieur peuvent se connecter.

On peut dire que c'est un réseau Wifi Invité. Si celui-ci est actif, alors des personnes proches de votre domicile peuvent se connecter sur votre box mais sur un réseau différent que celui de vos équipements.

Vous avez bien sur la possibilité de désactiver ce réseau invité.

Vous pouvez même sur votre réseau privée, masquer le SSID afin que seul ceux connaissant le SSID de votre box, puisse tenter de s'y connecter.

Ce système permet de sécuriser les connexions entrantes.

[Titi29000]

Bonjour

Merci Incorporated pour ta réponse.

Voici ce que j'ai fait pour voir si c'est le WIFI, j'ai branché mon PC avec un câble Ethernet directement sur la Box, puis j'ai stoppé le WIFI de la Box.
J'ai ensuite réessayé un Ping sur le 192.168.10.XXX = ping ok
Puis ensuite un Tracert sur le 192.168.10.XXX = j'ai bien toujours les 3 sauts
J'en conclu que ce n'est pas un problème de WIFI
Est-ce que j'ai raison ?

J'ai remarqué que l'IP du saut N° 2 (10.216.XX.X) changeait de temps en temps (environ une fois par jour) ! peut-être pour m'empêcher de blacklister l'adresse IP de ce routeur ???
Je trouve que ça ne sent pas bon ... espionnage ??

Je suis preneur de vos avis et prêt à faire des tests si besoin

Quelqu'un sait comment savoir quelle type de machine se cache derrière l'IP 192.168.10.XXX (Windows ? Linux ? ...)

Bonne soirée à tous

[JML19]

Bonsoir

As-tu essayé de couper ta Box d'Internet ?

On dirait l'adresse IP d'un Routeur.

[Titi29000]

Bonsoir JML19

Merci pour ta réponse.

J'ai coupé la Flybox, du coup plus de réponse de ping et de tracert.
Après remise en route, l'adresse du saut N° 2 a changé en 10.216.27.XX.

J'ai recoupé la Box, idem, plus de ping et tracert.
Après remise en route, l'adresse du 2eme saut a rechangé en 10.100.19.64, c'est la même adresse IP que j'avais eu hier

C'est comme si un automatisme changeait l'IP du routeur pour brouiller les pistes.

Qu'en pensez-vous ?

Bonne soirée

[JML19]

Il s'agit de l'équipement 4G de ton FAI.

[Titi29000]

Bonjour
J'ai regardé les FAQ, Tutoriels et blog, hélas je n'ai pas trouvé d'explications ou de cas similaires
Oui, c'est une Flybox Orange.

[Incorporated]

Voici ce que j'ai fait pour voir si c'est le WIFI, j'ai branché mon PC avec un câble Ethernet directement sur la Box, puis j'ai stoppé le WIFI de la Box.
J'ai ensuite réessayé un Ping sur le 192.168.10.XXX = ping ok
Puis ensuite un Tracert sur le 192.168.10.XXX = j'ai bien toujours les 3 sauts
J'en conclu que ce n'est pas un problème de WIFI
Est-ce que j'ai raison ?

Effectivement tu as raison, ça ne vient donc pas d'un problème Wifi.

Quelqu'un sait comment savoir quelle type de machine se cache derrière l'IP 192.168.10.XXX (Windows ? Linux ? ...)

Tout à fait, tu peut au moins connaitre la marque du fabricant, pour cela tu peut faire un ping de la machine, tu peut même faire un ping -a 192.168.10.XXX, la résolution DNS te donnera le nom de l'appareil (s'il y a résolution).

Et ensuite tu peut faire un arp -a afin de récupérer l'adresse mac de la machine.
Tu copie la Mac adresse sur ce site https://macvendors.com/ et ça te donnera la marque de l'appareil (HP, Asus etc...) car les 3 premiers octets d'une Mac Adresse correspondent à la marque du constructeur.

[becket]

Effectivement tu as raison, ça ne vient donc pas d'un problème Wifi.



Tout à fait, tu peut au moins connaitre la marque du fabricant, pour cela tu peut faire un ping de la machine, tu peut même faire un ping -a 192.168.10.XXX, la résolution DNS te donnera le nom de l'appareil (s'il y a résolution).

Et ensuite tu peut faire un arp -a afin de récupérer l'adresse mac de la machine.
Tu copie la Mac adresse sur ce site https://macvendors.com/ et ça te donnera la marque de l'appareil (HP, Asus etc...) car les 3 premiers octets d'une Mac Adresse correspondent à la marque du constructeur.

Cela ne fonctionne que si tu es directement connecté. Dès que tu passes un routeur, c'est fini, la mac est remplacée.

[Incorporated]

Tout à fait j'avais oublié que c'était une connexion de ce type !

Après, si ya une entrée quelque part chez lui, il peut essayer d'éteindre les appareils 1 après l'autre.

Si un pirate est bien connecté, il a forcément infectée une machine, reste à savoir laquelle ?

Avez-vous des anti-virus sur vos postes informatiques / téléphones ?

C'est une piste à explorer.

[Titi29000]

Bonjour

J'ai deux PC chez moi, tous les deux ping bien l'adresse 192.168.10.XXX
J'ai éteint l'un, puis l'autre, également mon téléphone et fait des ping sur les deux PC, le ping est OK

J'ai Mcaffee sur tous mes PC, à jour, et également sur mon Iphone.

J'ai vérifié également les fichiers host et lmhost, rien de particulier.

J'ai bien une idée sur l'espion éventuel, mais bon, pas de preuve ...

[Incorporated]

Vous n'avez que ça en équipement informatique ?

Pas de montre connecté ? de Google Home ? de Console branché en Ethernet ?

Pourquoi vous pensez connaitre l'éventuel espion ?

Vous pouvez tenter d'effectuer un dépistage avec malwarebytes par exemple (ça fait pas de mal ^^)

[Delias]

Bonjour

En regardant le log de ma box orange, j'ai remarqué qu'un matériel avec une adresse IP en 192.168.10.XXX tentait de s'introduire dans mon réseau.

C'est à dire ? Car l'information la plus importante est probablement dans les informations indiquées avec cela.

Ton réseau est en 192.168.1.xxx (je pars du principe que c'est le masque classique 255.255.255.0). Donc l'équipement 192.168.10.xxx est en dehors de ton réseau.
Il passe par une adresse en 10.xxx.yyy.zzz qui est également une plage d'adresse privée...

Cela signifie que c'est dans l'architecture interne de ton FAI dans l'infrastructure située entre les abonnés et l'Internet.
Cela peut simplement être un service de ton FAI: la mise à jour des box, un check automatisé de l'infrastructure, etc. ou plus large et moins normal : une autre personne également raccordée chez ton FAI qui bidouille, voir simplement une découverte de réseau qui va trop loin, mais cela devrait être bloqué par ton FAI.

N'étant pas français, je ne connais pas grand chose des FAI tricolores et je ne saurais aller plus loin.

Delias

[chrtophe]

Les adresses 192.168.10.x sont des adresses réservées au local. Pour moi c'est une adresse d'Orange liée à la flybox. Tu peux essayer d’utiliser un outil type dipiscan qui te donnera peut-être le nom de l'équipement. peut-être aussi un VLAN géré par la flybox.

[becket]

Je ne voudrais pas jouer les troubles faites mais de toute évidence, Titi29000 cherche uniquement confirmer son sentiment initial malgré les multiples interventions allant dans le sens opposée.

[lister0077]

Bonjour,

J'ai le même problème que l'auteur du topic.
Dans les log de ma flybox 3, j'ai le message suivant :
Detect UDP port scan attack, and the attack has been blocked, scan packet from 192.168.10.XXX

L'IP de mon PC est en 192.168.1.XXX et non 192.168.10.XXX, donc ca ne viendrait pas de lui.

Pas de wifi (=désactivé sur la box), box connecté uniquement par câble au PC, soit un seul équipement de connecté dessus.
Seul hic, c'est que j'ai d'énormes montés de ping avec en jeu quand ca arrive.
Pour autant si je vais sur une page internet ou fait un speed test à ce moment là, tout est OK...

Ca m'arrive que depuis que j'ai la flybox soit depuis à peine une semaine.
Avant, avec mon ancien routeur 4g et ma sim mobile aucun problème.

J'ai l'impression que c'est un truc propre à orange et sa sim 4Ghome (qui ne marche qu'avec la flyxbox), mais vu que j'y connais rien...

[Titi29000]

Bonjour et merci à tous pour vos réponses.

@incorporated : J'ai tout checké sur mon réseau, l'adresse 192.168.10.110 est bien en dehors de mon réseau et lorsque je fais un tracert sur cette adresse IP, j'ai bien 2 sauts avec un routeur 10.216.XXX.XXX entre ma flybox et cette adresse IP. je sais que j'ai été piraté et je connais le nom de la personne, maintenant si il essaye toujours, ça sera un plus.

@delias : J'ai appelé 4 fois Orange pour savoir si cela venait d'eux, les 4 fois ils m'ont dit qu'un expert allait m'appeler, j'attends toujours son appel ...

@chrtophe : OK, je vais essayer dipiscan, mais déja le ping -a ne donne rien.

@becket: Oui, ma démarche est simplement de savoir si l'adresse 192.168.10.110 et le routeur appartiennent au pirate ou si c'est c'est un process classique d'Orange sur les Flybox.

@lister0077 : C'est une très bonne piste si tu a le même problème, l'adresse IP externe est 192.168.10.110, est-ce bien également 110 pour toi ?
Je pense qu'il n'y a pas de risque risque de le dire. Peux-tu lancer la commande : Tracert 192.168.10.XXX (XXX étant tes chiffres) dans une ligne de commande, c'est juste pour voir si tu as également 2 sauts comme moi.
Si d'autres ont des Flybox, pouvez-vous également faire le test ? si nous avons tous le même résultat, il est presque certain que cela vient d'Orange.

Je trouve quand même l'adresse 192.168.10.XXX suspecte, elle ressemble beaucoup à l'adresse IP d'un réseau privé que beaucoup utilisent, simplement un 0 en plus, on peut passer à coté, mais bon.

Merci beaucoup à tous pour votre aide.

Bonne soirée