Piratage mot de passe administrateur
Posté : ven. 2 avr. 2021 17:06
Bonjour à tous,
il y a 6 mois j'ai reçu un "ransom mail" qui m'aurait bien fait rigoler s'il n'avait pas commencé par "je sais que votre mot de passe est ********". Le souci, c'est que le mot de passe indiqué était effectivement le mot de passe de login que j'utilisais sur 3 ordinateurs différents.
J'ai donc changé immédiatement non seulement mes mots de passe de login, désormais différent sur chacun de mes ordinateurs, mais également les mots de passe des comptes les plus sensibles que j'utilise fréquemment : mail, banques, etc.
Et puis ce mail est parti à la poubelle, je l'ai oublié, et il ne s'est rien passé. Jusqu'à il y a 4 jours, où j'ai reçu un mail sensiblement identique, commençant par presque la même phrase "je sais que l'un de vos mots de passe est **********". Et là, ça m'a vraiment inquiété parce que tous les caractères du mot de passe de l'un de mes ordinateurs y figuraient (9 caractères) , mais dans le mauvais ordre. J'en ai déduit qu'un keylogger avait été installé sur cet ordinateur.
La situation était déjà sérieuse, mais elle l'est devenue encore plus 2 jours plus tard : pour la 1ère fois depuis que j'utilise Linux (et ça fait pas mal d'années !), je me suis fait éjecter au login : mot de passe incorrect. Je voudrais bien croire que par une extraordinaire coïncidence, Mint a bugué, mais j'ai plutôt tendance à relier cet incident à ma non-réaction au ransom mail.
J'ai réinitialisé mon mot de passe en modifiant le Grub et donc récupéré l'accès à ma machine, mais ça ne règle pas mon problème : où se trouve ce foutu keylogger ? Est-ce qu'il est lié au navigateur (Firefox) ou est-ce qu'il a été installé ailleurs ? Et s'il est installé ailleurs, où ?
Quelques précisions sur mes habitudes de navigation:
- L'ordinateur concerné n'est physiquement accessible que par moi seul et j'en suis le seul utilisateur (du coup je n'ai pas défini de mot de passe root) ;
- Je vérifie systématiquement l'adresse des expéditeurs de mails, et tout mail douteux part à la poubelle (pas d'affichage d'images, jamais de clic sur un lien) ;
- j'utilise KeePassxc pour mes mots de passe, ce qui fait que les seuls mots de passe dont je dois me souvenir sont celui de l'ouverture de la base et ceux de mes logins sur mes différentes machines ;
- j'utilise l'extension KeePassxc de Firefox pour insérer automatiquement mes mots de passe sur les sites qui le requièrent, et si l'insertion automatique ne fonctionne pas, je procède par copier-coller ;
- pour tout nouveau mot de passe, j'utilise le générateur aléatoire de KeePassxc (entre 12 et 16 caractères) donc pas de frappe au clavier ;
- ma webcam n'est physiquement connectée que lors de discussions avec des personnes que je connais ;
- j'utilise ExpressVPN et la fenêtre de navigation privée de Firefox pour visiter des sites sensibles ;
- la 1ère chose que je fais après m'être logué, c'est de checker l'icône des mises à jour et de les installer s'il y en a.
Suite au problème, j'ai désactivé la synchronisation de firefox entre mes trois ordinateurs.
J'ai plusieurs options, dont l'efficacité dépendra de l'endroit où est installé le keylogger :
- supprimer les extensions de Firefox ;
- réinstaller complètement Firefox en ayant préalablement supprimé ses fichiers de configuration dans mon /home (mais j'aimerais quand même conserver mes marque-pages et mon historique de navigation) ;
- réinstaller Mint (vraiment en dernière extrémité), mais comme je conserve mon /home, quid si le keylogger est installé sur celui-ci ?
Que me conseillez-vous ?
Merci d'avance pour vos réponses.
PS : je tiens le ransom mail reçu à disposition, pour ceux que ça intéresse...
il y a 6 mois j'ai reçu un "ransom mail" qui m'aurait bien fait rigoler s'il n'avait pas commencé par "je sais que votre mot de passe est ********". Le souci, c'est que le mot de passe indiqué était effectivement le mot de passe de login que j'utilisais sur 3 ordinateurs différents.
J'ai donc changé immédiatement non seulement mes mots de passe de login, désormais différent sur chacun de mes ordinateurs, mais également les mots de passe des comptes les plus sensibles que j'utilise fréquemment : mail, banques, etc.
Et puis ce mail est parti à la poubelle, je l'ai oublié, et il ne s'est rien passé. Jusqu'à il y a 4 jours, où j'ai reçu un mail sensiblement identique, commençant par presque la même phrase "je sais que l'un de vos mots de passe est **********". Et là, ça m'a vraiment inquiété parce que tous les caractères du mot de passe de l'un de mes ordinateurs y figuraient (9 caractères) , mais dans le mauvais ordre. J'en ai déduit qu'un keylogger avait été installé sur cet ordinateur.
La situation était déjà sérieuse, mais elle l'est devenue encore plus 2 jours plus tard : pour la 1ère fois depuis que j'utilise Linux (et ça fait pas mal d'années !), je me suis fait éjecter au login : mot de passe incorrect. Je voudrais bien croire que par une extraordinaire coïncidence, Mint a bugué, mais j'ai plutôt tendance à relier cet incident à ma non-réaction au ransom mail.
J'ai réinitialisé mon mot de passe en modifiant le Grub et donc récupéré l'accès à ma machine, mais ça ne règle pas mon problème : où se trouve ce foutu keylogger ? Est-ce qu'il est lié au navigateur (Firefox) ou est-ce qu'il a été installé ailleurs ? Et s'il est installé ailleurs, où ?
Quelques précisions sur mes habitudes de navigation:
- L'ordinateur concerné n'est physiquement accessible que par moi seul et j'en suis le seul utilisateur (du coup je n'ai pas défini de mot de passe root) ;
- Je vérifie systématiquement l'adresse des expéditeurs de mails, et tout mail douteux part à la poubelle (pas d'affichage d'images, jamais de clic sur un lien) ;
- j'utilise KeePassxc pour mes mots de passe, ce qui fait que les seuls mots de passe dont je dois me souvenir sont celui de l'ouverture de la base et ceux de mes logins sur mes différentes machines ;
- j'utilise l'extension KeePassxc de Firefox pour insérer automatiquement mes mots de passe sur les sites qui le requièrent, et si l'insertion automatique ne fonctionne pas, je procède par copier-coller ;
- pour tout nouveau mot de passe, j'utilise le générateur aléatoire de KeePassxc (entre 12 et 16 caractères) donc pas de frappe au clavier ;
- ma webcam n'est physiquement connectée que lors de discussions avec des personnes que je connais ;
- j'utilise ExpressVPN et la fenêtre de navigation privée de Firefox pour visiter des sites sensibles ;
- la 1ère chose que je fais après m'être logué, c'est de checker l'icône des mises à jour et de les installer s'il y en a.
Suite au problème, j'ai désactivé la synchronisation de firefox entre mes trois ordinateurs.
J'ai plusieurs options, dont l'efficacité dépendra de l'endroit où est installé le keylogger :
- supprimer les extensions de Firefox ;
- réinstaller complètement Firefox en ayant préalablement supprimé ses fichiers de configuration dans mon /home (mais j'aimerais quand même conserver mes marque-pages et mon historique de navigation) ;
- réinstaller Mint (vraiment en dernière extrémité), mais comme je conserve mon /home, quid si le keylogger est installé sur celui-ci ?
Que me conseillez-vous ?
Merci d'avance pour vos réponses.
PS : je tiens le ransom mail reçu à disposition, pour ceux que ça intéresse...