Résolu le 15-11-18 Piraté ?

Tous les sujets touchant à la sécurité du système.
Répondre
jose
Messages : 4
Enregistré le : sam. 10 nov. 2018 13:18

Piraté ?

Message par jose »

Bonjour,

J'aime une question un peu particulière. J'ai laissé un ami à mon fils utiliser mon ordinateur pendant quelques heures sans que je sois derrière lui. IL m'a dit qu'il connaissait un peu Linux et qu'il avait besoin de jeter un œil sur Internet. Je les ai laissé surfé une partie de l'après-midi sans me soucier.

Souci : mon fils vient de m'avouer que son ami faisait du piratage informatique, sans en savoir beaucoup plus que quelques exploits dont il se serait vanté. Alors, je n'y connais pas grand chose, sans ne rien y connaître non plus. Mais j'en sais suffisamment pour savoir que même si Linux est relativement sûre, il l'est beaucoup moins si l'on donne l’accès de son ordinateur à quelqu'un.

Auriez-vous quelques pistes pour que je puisse vérifier qu'il n'ait rien fait dessus ? Merci d'avance !
Modifié en dernier par jose le dim. 11 nov. 2018 23:40, modifié 1 fois.

Avatar du membre
Lycaon
Messages : 735
Enregistré le : ven. 13 avr. 2018 00:53
Localisation : Belgique

Re: Piraté ?

Message par Lycaon »

Bonjour,

Bon, d'abord ne pas paniquer. La plupart des p'tits jeunes qui se vantent de piratage sont juste capables de faire des copies illégales. Mais bon, on ne sait jamais, donc il faut d'abord vérifier ce à quoi il avait eu accès.

1.- A-t'il eu accès au mot de passe pour ouvrir la session ouu a-t'il utilisé une session en cours ?
2.- Par simple précaution, changer le mot de passe utilisateur.
3.- Vérifier s'il n'a pas créé un utilisateur supplémentaire : aller dans le terminal et vérifier :

Code : Tout sélectionner

cd /home
suivi de : Doivent s'afficher alors

Code : Tout sélectionner

lost+found 
suivi du nom de l'utilisateur. S'il y a plusieurs utilisateurs, les différents noms doivent s'afficher.
Si le ou les utilisateurs listé(s) est (sont) ceux qui préexistaient, ça va, il n'a pas créé de nouvel utilisateur. S'il y en a un autre, il faudra alors vérifier de quoi il en retourne (penser aussi à demander au fiston si c'est lui qui l'utilise, en fonction de la confiance qui lui est attribuée).

4.- Il sera bon aussi d'aller vérifier dans le BIOS si aucun accès ou démarrage par le net n'est possible. La façon de procéder varie d'un BIOS à l'autre, donc pas possible de donner une marche à suivre précise, il faut fouiller. Au besoin, en sortir sans sauvegarder les changements. Si le démarrage par connexion est prévue (souvent oui par défaut, donc ce n'est pas forcément lui qui a trafiqué le truc, c'est juste une précaution à prendre), empêcher cette option en la refusant.

Voilà pour les premières précautions à prendre, d'autres pourront penser à autre chose, je suis loin d'être omniscient en la matière.
CM Gigabyte 970A UD3 // Proc. AMD Phenom™Ⅱ X4 965 // RAM 2×4 Go DDR3 G.Skill Extreme3 Ripjaws 1600MHz-PC12800 // CG Nvidia GK208 (GeForce GT730) 9020MHz 2Go // Écran Philips 240V 24" 1920×1200 // SSD (sda) 120Go // HDD (sdb) 2To // Lecteur-graveur DVD noname // Impr. Brother DCP-J562DW (/USB) // LM 18.3 Cinnamon 64 bits, noyau 4.15.0-42-generic x86_64 (64 bit)

jose
Messages : 4
Enregistré le : sam. 10 nov. 2018 13:18

Re: Piraté ?

Message par jose »

Bonsoir,

Merci pour ces informations.

Du coté des utilisateurs, ça a l'air d'être bon, il n'y a que le mien. Sinon, non, je ne lui ai pas donné mon mot de passe, je lui avais simplement laissé la session ouverte avec mon navigateur démarré.

Sinon, pour le démarrage par le net, j'ai jeté un œil sur le bios, ça ne me dit rien. Y a-il moyen de vérifier s'il a démarré des programmes susceptibles d'être utilisé pour faire autre chose que ceux pour lequel ils sont prévu, ou ce genre de choses ?

Avatar du membre
Lycaon
Messages : 735
Enregistré le : ven. 13 avr. 2018 00:53
Localisation : Belgique

Re: Piraté ?

Message par Lycaon »

Je ne vois pas bien, mais on peut toujours vérifier l'une ou l'autre chose.

1.- quelles commandes ont été utilisées :
dans le terminal, lancer la commande

Code : Tout sélectionner

history > ~/history.txt
qui créera dans le dossier utilisateur le fichier "history.txt" qui liste les dernières commandes utilisées en terminal. S'il n'y a rien de particulier, autre que celles qu'on a utilisées soi-même, il n'y a pas de soucis à se faire à ce propos. Je l'ai redirigée vers un ficher ("> ~/history.txt") parce que chez moi il y en a plus de 500, alors que je ne suis pas un invétéré de la ligne de commandes, peu pratique donc à l'écran).

On peut lancer aussi

Code : Tout sélectionner

crontab  -l
qui listera les commandes que le système doit opérer à intervalles réguliers. Par défaut, il n'y en a pas, mais on peut en définir soi-même.
Pour être vraiment sûr qu'il n'en a pas créé, vérifier aussi en root :

Code : Tout sélectionner

sudo crontab  -l
Là, s'il n'y a rien d'imprévu, ça semble bon à priori. ;)
CM Gigabyte 970A UD3 // Proc. AMD Phenom™Ⅱ X4 965 // RAM 2×4 Go DDR3 G.Skill Extreme3 Ripjaws 1600MHz-PC12800 // CG Nvidia GK208 (GeForce GT730) 9020MHz 2Go // Écran Philips 240V 24" 1920×1200 // SSD (sda) 120Go // HDD (sdb) 2To // Lecteur-graveur DVD noname // Impr. Brother DCP-J562DW (/USB) // LM 18.3 Cinnamon 64 bits, noyau 4.15.0-42-generic x86_64 (64 bit)

jose
Messages : 4
Enregistré le : sam. 10 nov. 2018 13:18

Re: Piraté ?

Message par jose »

Merci pour ces informations.

Et bien a priori rien d'anormal, donc je vais partir du principe qu'il n'a rien fait de particulier. Des fois, se vanter, ça joue des tours !

Merci !

Avatar du membre
débitant
modérateur
Messages : 11534
Enregistré le : mar. 14 juil. 2015 18:22
Localisation : Lorraine France

Re: Piraté ?

Message par débitant »

Bonjour,
si le sujet est résolu merci d'éditer le premier message du sujet, puis :
  1. mettre un petit Image, comme suit: voir tuto ici
  2. mettre un [résolu] (entre crochets et à gauche) dans le titre de ce premier message

Avatar du membre
Lycaon
Messages : 735
Enregistré le : ven. 13 avr. 2018 00:53
Localisation : Belgique

Re: Piraté ?

Message par Lycaon »

Bonsoir,
jose a écrit :
dim. 11 nov. 2018 20:47
Des fois, se vanter, ça joue des tours !
Il est tout aussi possible qu'il n'ait pas eu envie de créer des problèmes à la mère de son copain.

Juste une chose que j'avais oubliée, c'est de vérifier les téléchargements effectués. Dans Firefox, c'est le menu Outils -> Téléchargements. Dans la fenêtre qui apparaît, il y a la liste de tout ce qui a été téléchargé. C'est juste pour vérifier qu'il n'a pas ramené qq chose qu'il n'aurait pas voulu télécharger de chez lui. Peu probable, mais on ne sait jamais.
CM Gigabyte 970A UD3 // Proc. AMD Phenom™Ⅱ X4 965 // RAM 2×4 Go DDR3 G.Skill Extreme3 Ripjaws 1600MHz-PC12800 // CG Nvidia GK208 (GeForce GT730) 9020MHz 2Go // Écran Philips 240V 24" 1920×1200 // SSD (sda) 120Go // HDD (sdb) 2To // Lecteur-graveur DVD noname // Impr. Brother DCP-J562DW (/USB) // LM 18.3 Cinnamon 64 bits, noyau 4.15.0-42-generic x86_64 (64 bit)

Raromatai
Messages : 190
Enregistré le : sam. 2 déc. 2017 12:37

Re: Piraté ?

Message par Raromatai »

jose a écrit :
sam. 10 nov. 2018 21:40
Du coté des utilisateurs, ça a l'air d'être bon, il n'y a que le mien.
Bonsoir,

Un seul utilisateur en plus du compte administrateur ? Si c'est le cas je ne saurais trop vous conseiller de créer un compte utilisateur sans les droits administrateurs et d'utiliser principalement ce nouveau compte, par sécurité.

OS : Linux Mint 20.3 (Cinnamon 5.2.7 ; kernel 5.4.0-124-generic) / Fedora 39 ; Gnome 45
CPU : i5 33370 1,8 GHz * 2 ; CG : Intel 3rd Gen Core processor Graphics Controller ; RAM : 3,7 Go ;Disque Dur SSD 250 Go & SDD 24 Go ; PC : portable Samsung série 5

Répondre