Piratage éventuel d'un iMac !

DavidB78

Membre enregistré
19 Mars 2010
5
0
Bonjour à tous, je suis nouveau sur le forum.
Voilà, j'aimerais savoir dans quelle mesure un internaute peut pirater le contenu d'un iMac lorsque le coupe-feu n'est pas activé ? (Je crains que, dans ces conditions, il n'y ait malheureusement aucune limite).
Je viens de constater avec effroi que les coupe-feu de mes Mac n'étaient pas activés par défaut ! Et je les utilise tel quel depuis des années. C'est dernier étant bien entendu bourrés d'informations personnelles et confidentielles.
Un pirate peut-il tranquillement installer un "cheval de Troie" dans ces conditions ?
Dans le très probable pire des cas, y a-t-il moyen d'identifier les connexions antérieures indésirables.
J'aimerais aussi savoir si après activation du coupe-feu, l'éventuel "cheval de Troie" est neutralisé.
Bref, je suis une bille totale en matière de piratage, et jusque là je croyais être absolument tranquille avec mes Mac. Il semblerait que je fus quelque peu crédule...
Merci d'avance pour vos précieuses informations.
David
 

pepeye66

Jaccédeur
Club MacG
24 Février 2007
5 946
733
Capitale de la Catalogne Nord
Bonjour à tous, je suis nouveau sur le forum.
Voilà, j'aimerais savoir dans quelle mesure un internaute peut pirater le contenu d'un iMac lorsque le coupe-feu n'est pas activé ? (Je crains que, dans ces conditions, il n'y ait malheureusement aucune limite).
Je viens de constater avec effroi que les coupe-feu de mes Mac n'étaient pas activés par défaut ! Et je les utilise tel quel depuis des années. C'est dernier étant bien entendu bourrés d'informations personnelles et confidentielles.
Un pirate peut-il tranquillement installer un "cheval de Troie" dans ces conditions ?
Dans le très probable pire des cas, y a-t-il moyen d'identifier les connexions antérieures indésirables.
J'aimerais aussi savoir si après activation du coupe-feu, l'éventuel "cheval de Troie" est neutralisé.
Bref, je suis une bille totale en matière de piratage, et jusque là je croyais être absolument tranquille avec mes Mac. Il semblerait que je fus quelque peu crédule...
Merci d'avance pour vos précieuses informations.
David

Je ne suis pas trés instruit sur ce sujet mais il semblerait que celà soit impossible.
D'autres te renseigneront mieux que moi...Va aussi faire un tour sur les archives car ce sujet a été bien souvent abordé.
 

schwebb

Membre expert
Club MacG
13 Novembre 2007
3 879
497
www.flickr.com
Hello,

Le coupe-feu de Mac OSX n'est pas la seule protection: il y a aussi celui de ton routeur. Normalement, par défaut il est souvent sur un niveau de sécurité intermédiaire (largement suffisant).

Difficile de savoir si tu as été piraté ou pas, mais il y a assez peu de chances, t'inquiète.

Maintenant, puisqu'à partir d'aujourd'hui le sujet te préoccupe, tu peux devenir véritablement acteur de la sécurité de ton Mac. Quelques trucs:
- dans le Terminal, tape:
Bloc de code:
sudo crontab -l
Puis ton mot de passe. Cette commande sert à vérifier si un troyen est à l'oeuvre (réponse attendue: no crontab for root); tu peux taper ça régulièrement, pour surveiller un peu
- active ton pare-feu. Certains disent qu'il vaut mieux ne pas activer à la fois celui de ton routeur et celui du Mac; je ne sais pas trop: les deux sont activés chez moi, et je n'ai jamais remarqué d'interférences
- télécharge Little Snitch: c'est un excellent petit logiciel (payant mais vraiment raisonnable en regard du travail fourni), qui surveille tes connexions. Peut-être plus utile pour la confidentialité que pour la sécurité, mais utile de toute façon
- va faire un tour dans les paramètres de ton routeur, et change les login et mdp par défaut
- mets un mdp à l'ouverture de ton Mac, ainsi qu'à la sortie de veille
- globalement, change tes mdp régulièrement, et choisis des mdp durs (tu peux en générer des vicieux via Trousseau d'accès, par exemple)
- gaffe aux emails suspects et aux téléchargements sur des sites à la con



Bien sûr, il y a d'autres trucs à faire ou à éviter, tout comme il y a d'autres moyens de péter les sécurités. Mais c'est une ébauche de ce que tu peux faire.
 

Fmparis

Membre actif
29 Septembre 2008
399
3
Paris
Bonjour à toi. Pas de panique (en principe ;)) ! Il n'y a pas beaucoup de soucis de virus chez Mac, mais, pour te rassurer tu peux passer ClamXav qui est un antivirus gratuit et bien pour Mac. En attendant l'avis des plus experts en la matière. :up:
 

DavidB78

Membre enregistré
19 Mars 2010
5
0
Merci beaucoup messieurs !
Mon problème, plus exactement, c'est j'ai un "contentieux" avec un internaute un peu dérangé avec qui je me suis accroché (rien à voir avec ce site). Nous nous sommes "expliqués" par mails interposés (à partir de mes deux Mac, ce qui signifie qu'il a mes 2 adresses IP) et ce type m'a plus ou moins fait comprendre qu'il m'avait hacké. J'espère que c'est de l'intox mais allons savoir...
C'est un problème dont je ne me préoccupais guère avant, mais l'idée qu'un malade puisse faire ce qu'il veut dans mes machines (factures, photos de famille par ex., pourquoi pas activation à mon insu de ma Webcam et tout le tralala) m'est finalement, vous l'imaginez, particulièrement désagréable.
C'est là que j'ai commencé à me pencher un peu plus sur la question et que je me suis aperçu éberlué que mes firewall n'étaient pas activés par défaut (je trouve d'ailleurs ça étrange de la part d'Apple).
Tout ça pour dire que je ne crains pas particulièrement le hacking pour la hacking, mais l'attaque bien ciblée d'un gars qui me menace et a mes adresses IP.

---------- Nouveau message ajouté à 14h19 ---------- Le message précédent a été envoyé à 14h18 ----------

- dans le Terminal, tape:
Bloc de code:
sudo crontab -l
Puis ton mot de passe. Cette commande sert à vérifier si un troyen est à l'oeuvre (réponse attendue: no crontab for root)
Merci !
Bon, le message attendu est OK pour l'instant. Faudra que j'essaie sur mon autre machine.
 

schwebb

Membre expert
Club MacG
13 Novembre 2007
3 879
497
www.flickr.com
l'attaque bien ciblée d'un gars qui me menace et a mes adresses IP.

Un simple redémarrage suffira pour qu'il n'ait plus ton adresse IP, mais ce n'est pas suffisant:
- change d'urgence les login et mdp de ton routeur (s'il t'a vraiment hacké, c'est sans doute une des premières choses qu'il aura faites, et tu le verras tout de suite: tu ne pourras plus accéder à l'interface de ton routeur)
- mets des mdp à l'ouverture de session et à la sortie de veille
- tu peux porter plainte, accessoirement
 

DavidB78

Membre enregistré
19 Mars 2010
5
0
Un simple redémarrage suffira pour qu'il n'ait plus ton adresse IP, mais ce n'est pas suffisant:
- change d'urgence les login et mdp de ton routeur (s'il t'a vraiment hacké, c'est sans doute une des premières choses qu'il aura faites, et tu le verras tout de suite: tu ne pourras plus accéder à l'interface de ton routeur)
- mets des mdp à l'ouverture de session et à la sortie de veille
- tu peux porter plainte, accessoirement

Je vais sans doute te paraître affreusement ignare, mais ce que tu appelles routeur c'est bien les boîtiers ADSL par lesquels je suis connectés ? (Freebox chez moi et Livebox au taf)
 

pascalformac

Membre vénérable
Club MacG
23 Novembre 2003
58 737
1 814
bonjour
le fait de connaitre une IP est une chose pas très importante

c'est un peu comme connaitre l'adresse de au pif le Palais de l'Elysée
c'est pas pour autant qu'on y entre (surtout sans accord !)


acceder à tes machines et contenu sans ton accord , c'est en utilisation normale pas possible
pour que l'exterieur puisse fouiner il faudrait que tu donnes ton accord et divers infos
 

Anabys

Membre expert
Club MacG
2 Août 2004
1 099
67
Paris
www.valhalla.fr
Stop le délire...

Si tu veux 100% de sécurité, tu ne connectes pas ton ordi à Internet. C'est la seule manière d'avoir la CERTITUDE que personne n'est venu farfouiller, que tu utilises OS X, Windows, Linux, ou je ne sais quel OS.

Alors pourquoi sommes-nous tout de même tous connectés en permanence ? Parce que le risque, pour un ordinateur client, d'être compromis, est minime. Aucun système n'étant parfait, la sécurité repose sur l'évaluation de risque (par exemple : si je ne fais jamais aucune mise à jour, j'augmente grandement les risques, donc je fais les mises à jour).

En l'occurrence, une analyse basique des risques fait ressortir cela :

1) Tu es sur Mac (et non Windows), ce qui permet d'exclure d'emblée l'infection par un malware "grand public", comme ceux que l'on chope en double-cliquant sur free-porn.exe. Il ne reste que l'hypothèse d'une attaque ciblée (manuellement, ou avec un trojan/rootkit custom).

2) Ton ordinateur est derrière un routeur (free/live box) qui, par défaut, est doté d'un firewall (pas très finaud, certes, mais qui filtre tout de même les connexions entrantes).

3) Firewall ou pas, ce sont les services actifs sur ta machine qui constituent des "portes d'entrée". Commence déjà par vérifier que les cases sont décochées dans préférences système > partage.

Le Firewall de Mac OS X est utile lorsqu'on est connecté DIRECTEMENT à Internet, c'est-à-dire sans passer par un routeur. C'était le cas avec les modems, c'est le cas avec certaines configurations proxy qui passent à travers la box, mais ce n'est pas ton cas.

4) Un bonhomme qui se vante par e-mail de t'avoir "piraté", est plus un lamer qu'un hacker (ce qui veut dire : tu n'as rien à craindre, il n'a rien fait, parce qu'il n'y connaît rien et que sa seule arme est de te faire peur).

--

Concernant les e-mails : cela dépend du prestataire. Hotmail indique l'IP du sender mais Gmail la masque automatiquement (si l'e-mail est envoyé depuis le webmail).

Concernant l'IP : c'est celle de la box qui compte, il est donc inutile de redémarrer l'ordinateur, ça ne la changera pas. En revanche, redémarrer la box peut avoir pour effet de changer l'IP, cela dépend du FAI.
 

Fmparis

Membre actif
29 Septembre 2008
399
3
Paris
Ups :eek: salut schwebb en te lisant j'ai décidé de taper la commande "sudo crontab -l" et ça m'a donné la mauvaise réponse : */5 * * * "/Library/Internet Plug-Ins/AdobeFlash" vx 1>/dev/null 2>&1 :confused:

Qu'est-ce que ça veut dire ? le plugin Flash est-il un troyen ?

Merci d'avance de ton éclairage ;) car là je me fais de souci aussi !

à plus :zen:
 

schwebb

Membre expert
Club MacG
13 Novembre 2007
3 879
497
www.flickr.com
Ups :eek: salut schwebb en te lisant j'ai décidé de taper la commande "sudo crontab -l" et ça m'a donné la mauvaise réponse : */5 * * * "/Library/Internet Plug-Ins/AdobeFlash" vx 1>/dev/null 2>&1 :confused:

Qu'est-ce que ça veut dire ? le plugin Flash est-il un troyen ?

Je ne sais pas trop, mais on dirait bien; va jeter un oeil sur cette page:

http://vil.mcafeesecurity.com/vil/content/v_154438.htm

Le message que tu obtiens figure, caractère pour caractère, sur cette page qui parle d'un troyen changeur de dns.
 

Fmparis

Membre actif
29 Septembre 2008
399
3
Paris
Aie aie aie :mad: je vais m'en débarrasser vite ! Merci merci... j'espère qu'il n'a pas fait de dégâts !!! Bonne soirée :zen:

ClamXav ne m'a pas trouvé celui là ! Même maintenant je viens de le re-passer et rien ! :mad: aie aie
 

Anabys

Membre expert
Club MacG
2 Août 2004
1 099
67
Paris
www.valhalla.fr
Laisse tomber clamav, ça ne te protègera pas contre une attaque directe, et rien ne dit que ça détectera les malware mac... c'est plutôt pour les bon vieux ILOveYou ou MyDoom...

Le cronjob que tu as, et qui n'a rien à faire là où il est, provient très probablement d'un programme infecté que tu as lancé (un logiciel téléchargé sur le web ? une saleté de player vidéo ? ...)

Pour le retirer :
- efface les fichiers avec le finder :)

/cron.inst
/i386
/Library/Internet Plug-Ins/AdobeFlash
/Library/Internet Plug-Ins/Mozillaplug.plugin

(ils ne seront peut être pas tous présents)

- efface le cronjob avec la commande sudo crontab -r
- vérifie que tes DNS n'ont pas été changés (dans les préférences système) et rectifie si besoin
- redémarre l'ordi

Eventuellement, réinstalle Flash depuis une source officielle.

Vérifie que tu n'as plus le vilain cron avec sudo crontab -l
 

pascalformac

Membre vénérable
Club MacG
23 Novembre 2003
58 737
1 814
un des rapatrieurs de trojan flasheux classique
c'est de cliquer ( sur des sites douteux, XXX par exemple )
l'option proposant d'installer un flashplayer ou un player maison ( douteux) concocté par le site
 

Fmparis

Membre actif
29 Septembre 2008
399
3
Paris
Laisse tomber clamav, ça ne te protègera pas contre une attaque directe, et rien ne dit que ça détectera les malware mac... c'est plutôt pour les bon vieux ILOveYou ou MyDoom...

Le cronjob que tu as, et qui n'a rien à faire là où il est, provient très probablement d'un programme infecté que tu as lancé (un logiciel téléchargé sur le web ? une saleté de player vidéo ? ...)

Pour le retirer :
- efface les fichiers avec le finder :)

/cron.inst
/i386
/Library/Internet Plug-Ins/AdobeFlash
/Library/Internet Plug-Ins/Mozillaplug.plugin

(ils ne seront peut être pas tous présents)

- efface le cronjob avec la commande sudo crontab -r
- vérifie que tes DNS n'ont pas été changés (dans les préférences système) et jette un coup d'oeil à /etc/hosts, rectifie si besoin
- redémarre l'ordi

Eventuellement, réinstalle Flash depuis une source officielle.

Vérifie que tu n'as plus le vilain cron avec sudo crontab -l

Merci merci... j'y vais tout de suite :up:

---------- Nouveau message ajouté à 20h49 ---------- Le message précédent a été envoyé à 20h29 ----------

Uff :up: ça y est ! C'est fait ! Merci encore... (je vais bien faire plus attention avec ce que mes frangins m'envoient du Brésil ... assez souvent c'est de trucs drôles et un peu cochon ... j'ouvrais tranquille en me disant que avec Mac je ne craignait rien... j'en ai appris une bonne aujourd'hui :siffle: comme quoi il n'est jamais tard pour apprendre :D ...
 

Dramis

Membre expert
Club MacG
20 Mars 2005
2 279
60
Bloc de code:
sudo crontab -l
Puis ton mot de passe. Cette commande sert à vérifier si un troyen est à l'oeuvre (réponse attendue: no crontab for root);

C'est pas parce que la crontab est vide qu'il n'y a pas de troyen....

Et puis si je suis capable d'ajouter une ligne dans la crontab root, y'a de forte chance que j'en profite pour modifier le programme crontab pour ne pas lister mon troyen.
 

schwebb

Membre expert
Club MacG
13 Novembre 2007
3 879
497
www.flickr.com
C'est pas parce que la crontab est vide qu'il n'y a pas de troyen....

Et puis si je suis capable d'ajouter une ligne dans la crontab root, y'a de forte chance que j'en profite pour modifier le programme crontab pour ne pas lister mon troyen.

Oui, c'est exactement pour ça (entre autres) que je précisais dans le post n°3 qu'il existe d'autres moyens de péter les sécurités.