Résolu le 3-04-21 Piratage mot de passe administrateur

Tous les sujets touchant à la sécurité du système.
Répondre
Torev
Messages : 6
Enregistré le : jeu. 13 oct. 2016 14:37
Localisation : Nouvelle-Calédonie

Piratage mot de passe administrateur

Message par Torev »

Bonjour à tous,

il y a 6 mois j'ai reçu un "ransom mail" qui m'aurait bien fait rigoler s'il n'avait pas commencé par "je sais que votre mot de passe est ********". Le souci, c'est que le mot de passe indiqué était effectivement le mot de passe de login que j'utilisais sur 3 ordinateurs différents.

J'ai donc changé immédiatement non seulement mes mots de passe de login, désormais différent sur chacun de mes ordinateurs, mais également les mots de passe des comptes les plus sensibles que j'utilise fréquemment : mail, banques, etc.

Et puis ce mail est parti à la poubelle, je l'ai oublié, et il ne s'est rien passé. Jusqu'à il y a 4 jours, où j'ai reçu un mail sensiblement identique, commençant par presque la même phrase "je sais que l'un de vos mots de passe est **********". Et là, ça m'a vraiment inquiété parce que tous les caractères du mot de passe de l'un de mes ordinateurs y figuraient (9 caractères) , mais dans le mauvais ordre. J'en ai déduit qu'un keylogger avait été installé sur cet ordinateur.

La situation était déjà sérieuse, mais elle l'est devenue encore plus 2 jours plus tard : pour la 1ère fois depuis que j'utilise Linux (et ça fait pas mal d'années !), je me suis fait éjecter au login : mot de passe incorrect. Je voudrais bien croire que par une extraordinaire coïncidence, Mint a bugué, mais j'ai plutôt tendance à relier cet incident à ma non-réaction au ransom mail.

J'ai réinitialisé mon mot de passe en modifiant le Grub et donc récupéré l'accès à ma machine, mais ça ne règle pas mon problème : où se trouve ce foutu keylogger ? Est-ce qu'il est lié au navigateur (Firefox) ou est-ce qu'il a été installé ailleurs ? Et s'il est installé ailleurs, où ?

Quelques précisions sur mes habitudes de navigation:

- L'ordinateur concerné n'est physiquement accessible que par moi seul et j'en suis le seul utilisateur (du coup je n'ai pas défini de mot de passe root) ;
- Je vérifie systématiquement l'adresse des expéditeurs de mails, et tout mail douteux part à la poubelle (pas d'affichage d'images, jamais de clic sur un lien) ;
- j'utilise KeePassxc pour mes mots de passe, ce qui fait que les seuls mots de passe dont je dois me souvenir sont celui de l'ouverture de la base et ceux de mes logins sur mes différentes machines ;
- j'utilise l'extension KeePassxc de Firefox pour insérer automatiquement mes mots de passe sur les sites qui le requièrent, et si l'insertion automatique ne fonctionne pas, je procède par copier-coller ;
- pour tout nouveau mot de passe, j'utilise le générateur aléatoire de KeePassxc (entre 12 et 16 caractères) donc pas de frappe au clavier ;
- ma webcam n'est physiquement connectée que lors de discussions avec des personnes que je connais ;
- j'utilise ExpressVPN et la fenêtre de navigation privée de Firefox pour visiter des sites sensibles ;
- la 1ère chose que je fais après m'être logué, c'est de checker l'icône des mises à jour et de les installer s'il y en a.

Suite au problème, j'ai désactivé la synchronisation de firefox entre mes trois ordinateurs.

J'ai plusieurs options, dont l'efficacité dépendra de l'endroit où est installé le keylogger :

- supprimer les extensions de Firefox ;
- réinstaller complètement Firefox en ayant préalablement supprimé ses fichiers de configuration dans mon /home (mais j'aimerais quand même conserver mes marque-pages et mon historique de navigation) ;
- réinstaller Mint (vraiment en dernière extrémité), mais comme je conserve mon /home, quid si le keylogger est installé sur celui-ci ?

Que me conseillez-vous ?

Merci d'avance pour vos réponses.

PS : je tiens le ransom mail reçu à disposition, pour ceux que ça intéresse...
Pc : Desktop Mobo: Gigabyte model: H81M-DS2 | Linux Mint 20.1 Ulyssa | Cinnamon 4.8.6 | 5.4.0-70-lowlatency x86_64 | Dual Core model: Intel Core i3-4130 bits: 64 type: MT MCP | 8 Go | NVIDIA GK208 [GeForce GT 630 Rev. 2] driver: nvidia

falke
Messages : 595
Enregistré le : mar. 3 oct. 2017 21:28

Re: Piratage mot de passe administrateur

Message par falke »

salut,

ben perso, je n'enregistre aucun mot de passe dans mes navigateur fût-ce Firefox. Les extensions j'aurais tendance à
me méfier surtout pour gérer des mot de passe.
(maintenant es, tu au courant que les extension sont quotées, ça donne une idée sur le degré de confiance qu'on peut leur accorder)

pour le reste oui , graduellement je ferais comme t'as dit et en plus je passerait un coup d'antivirus style clamav pour débusquer l'intrus.

par exple, c'est vieux mais ça existe bel et bien :

https://www.01net.com/actualites/firefo ... 12273.html
System:
Host: falke-MacBookAir Kernel: 5.15.0-91-generic x86_64 bits: 64
Desktop: Cinnamon 6.0.4 Distro: Linux Mint 21.3 Virginia

Machine:
Type: Laptop System: Apple product: MacBookAir7,2 v: 1.0
Autre Distro : Debian Sid et Endeavour en triple boot sur Btrfs. Noyau change tout le temps ..

Torev
Messages : 6
Enregistré le : jeu. 13 oct. 2016 14:37
Localisation : Nouvelle-Calédonie

Re: Piratage mot de passe administrateur

Message par Torev »

Salut falke,

Merci pour ta réponse.
falke a écrit :
ven. 2 avr. 2021 21:18
ben perso, je n'enregistre aucun mot de passe dans mes navigateur fût-ce Firefox.
Moi non plus. D'ailleurs, c'est dans ma todo list post installation d'une distribution : interdire l'enregistrement des mots de passe par les navigateurs.

Le lien de 01.net que tu m'as donné m'a permis d'apprendre qu'il ne servait à rien de supprimer les extensions, le malware s'installe sur la machine.

Je n'ai pas vu de système de cotage des extensions par Mozilla. Il y a bien une icône de coupe sur certaines, mais j'ai l'impression que ça ne réfère qu'au nombre d'utilisateurs. C'est une indication, mais les critiques des utilisateurs ne sont pas d'une grande aide : en général, ils sont tous contents...

Sinon, sur ma bécane infectée, la situation semble se dégrader : KeePassxc me dit que ma base de données n'existe plus, alors qu'elle est bien à sa place et intègre (ouverture avec le KeePass d'une autre bécane).

J'ai lancé Clamav, mais c'est un peu longuet, et je sens que je vais m'orienter vers une réinstallation complète, en croisant les doigts pour que Clamav ne soit pas passé à côté d'un malware qui se serait installé dans mon /home. De quoi occuper mon week-end, parce qu'il va falloir en plus que je modifie une tétrachiée de mots de passe...

Donc, même si la solution n'est pas satisfaisante, je marque le sujet comme résolu.
Pc : Desktop Mobo: Gigabyte model: H81M-DS2 | Linux Mint 20.1 Ulyssa | Cinnamon 4.8.6 | 5.4.0-70-lowlatency x86_64 | Dual Core model: Intel Core i3-4130 bits: 64 type: MT MCP | 8 Go | NVIDIA GK208 [GeForce GT 630 Rev. 2] driver: nvidia

Torev
Messages : 6
Enregistré le : jeu. 13 oct. 2016 14:37
Localisation : Nouvelle-Calédonie

Re: Piratage mot de passe administrateur

Message par Torev »

Re-bonjour à tous,

Juste un complément d'information sur le sujet : voilà la liste complète des extensions qui étaient installées sur le Firefox de l'ordinateur infecté :

Startpage.com
Ghostery
KeePassXC-browser
ExpressVPN
Google Keep Note
To Google Translate
QR Code Generator
Video DownloadHelper
Emoji Cheatsheet for GitHub, Basecamp etc.

mes commentaires sur certains, même si ce n'est pas l'endroit :

Ghostery : bien, mais un peu intrusif ;
KeePassXC-browser : ça facilite vraiment la vie, mais il est vrai que c'est hyper sensible ;
To Google Translate : inutilisé, depuis que je traduis en ligne sur DeepL Traducteur, autrement plus efficace et précis ;
Google Keep Note : Bôf. Inutilisé ;
QR Code Generator : très rarement utilisé, mais néanmoins commode. pb : j'y entre parfois des informations sensibles ;
Video DownloadHelper : youtube-dl c'est mieux ;
Emoji Cheatsheet for GitHub, Basecamp etc. : mais qu'est-ce qui m'a pris d'installer ce machin là qui ne m'est d'aucune utilité ? D'ailleurs, c’est curieux, je ne me souviens pas de l'avoir installé...

Voilà, voilà.
Pc : Desktop Mobo: Gigabyte model: H81M-DS2 | Linux Mint 20.1 Ulyssa | Cinnamon 4.8.6 | 5.4.0-70-lowlatency x86_64 | Dual Core model: Intel Core i3-4130 bits: 64 type: MT MCP | 8 Go | NVIDIA GK208 [GeForce GT 630 Rev. 2] driver: nvidia

Avatar du membre
alain
Administrateur du site
Messages : 14704
Enregistré le : dim. 11 oct. 2015 23:41
Localisation : Chelles
Contact :

Re: Piratage mot de passe administrateur

Message par alain »

Bonjour.

Sujet archivé (en lecture seule) car résolu.
Si besoin de rouvrir faire un MP à un membre de l'équipe ;)
PC are like air conditioning, they becomes useless when you open Windows (L.T)
PC1 : CM : ASRock 990FX | CPU: AMD FX 8350-8 cores, 4 GHz | RAM: 16 Go DDR3 1600 MHz | CG: ATI RX 580-8 Go | OS : LM 20.3 Uma Xfce 4.16 | K: 5.4
PC2
:Core2 Quad Q9650 @ 3 GHz | CG: Nvidia GTX 650TI | OS: LM 21.3 Xfce 4.18| K: 6.5
PC3 :Core i7-2600 @ 3,5 GHz | CG: ATI HD 4650 | OS: Emmade5 Xfce 4.18.0 | K: 6.1
PC4 : AMD Ryzen 5 3500X 4GHz | CG: GTX 970 | Ram : 8GB |OS : Debian 10.5 | K: 5.10
In a world without walls and fences, who needs windows and gates?

Répondre