Portable piraté

[any-one]

salut à tous,

une copine possède un portable Mac (ne m'en demandez pas plus) et je sais qu'elle a Mac OS X dessus.

Depuis quelques temps elle se fait pirater tous les comptes des forums et mails qu'elle accede depuis son portable.

A priori ça serait un mec qu'elle frequentait qui lui fait ça.

bref, j'ai l'impression que ce mec a dù installer un cheval de troie ou une saloperie qui lui permet de connaitre tous les identifiants qu'elle utilise depuis son portable.

Est-ce que ça vous parle ce genre de problème ?

Vous auriez des idées pour bloquer ce piratage ?


Merci

 

[pierre22]

Bonjour,

Dans un premier temps, il probable qu'il connaisse le mot de passe de session, ou qu'elle n'en utilise pas.

Aussi il faut désactiver le partage des fichier; Préférences système=>Partage=>Services tout décocher, du moins partage de fichiers

Pour créer, ou changer le mot de passe:
Aller dans préférences système=>Comptes=> mot de passe créer en un, ou le changer.

Cordialement:zen:

 

[Deleted member 70384]

Non, pas de cheval de Troie en première intention... Juste le bon vieil espionnage à l'ancienne, remis au goût du jour.

En général, les gens ont des cookies chez eux (et je ne parle pas des délicieux délices ), qui gardent en mémoire leurs informations de connexion. Si je ne ferme pas ma session, ou que j'ai une ouverture de session automatique, n'importe qui habitant chez moi peut accéder à mon Mac et poster en mon nom des messages inutiles sur MacGé (tel que celui-ci par exemple :siffle.

En outre, s'il s'agit d'une personne me connaissant bien, et si j'ai eu la flemme de me creuser les méninges pour trouver des mdp pour mes divers comptes, le mdp sera du genre facile à deviner (surtout si ses mdp sont identiques pour ses différents comptes). D'où la possibilité de le changer et ainsi de pirater le compte.

Enfin ça, c'est la version basique, on peut faire plus compliqué, mais le rasoir d'Occam, toussa toussa.

Pour bloquer le piratage de compte, qu'elle envoie un mail à l'administrateur de chaque site, ainsi qu'au responsable de son compte de messagerie électronique, qui se chargeront de remettre les choses en ordre.

Mais un peu de précautions dans la sécurisation de son ordinateur et d'inventivité pour les mots de passe préviennent généralement ce genre de malheur.

 

[pascalformac]

+1

le mec a un jour où il accedait au mac et cette session
fouiné et copié les logs (par exemple dans le trousseau)

--
outre les solutions du dessus

une autre très radicale

Avoir de nouvelles identités neuves
( nouveaux pseudos , nouveaux emails etc)

un avantage
le " pirate" n'aura pas les logs

 

[any-one]

Je pense que je n'ai pas ete clair.

Meme si on cre de nouveaux identifiants sur les forums ou des nouveaux comptes mails il arrive a s'en servir.

C'est super louche.
C'est pour ca que je pense a un logiciel espion.

 

[Deleted member 70384]

Un keylogger ? Je suis dubitative, c'est un peu sortir un bazooka pour tuer un moustique :mouais:

 

[PA5CAL]

Bonsoir

J'ose imaginer que les mots de passe utilisés sur ces comptes étaient bien différents des précédents et très difficiles à deviner.


Il faudrait commencer par vérifier que tous les accès à distance du Mac (Apple Remote Desktop, FTP, partages, ...) sont bien désactivés et qu'il n'existe plus de compte accessible, notamment administrateur et root, datant du temps où elle fréquentait ce type.

Pour rappel, on peut réinitialiser les mots de passe afin de les changer en bootant sur le DVD d'installation de Mac OS X.

Si le Mac passe par un modem-routeur (une box) pour se connecter à Internet, il faut vérifier que l'adresse du Mac n'a pas été définie comme DMZ si on n'en a pas l'usage.


Il faudrait aussi vérifier dans la configuration réseau qu'un serveur proxy n'a pas été défini (lequel verrait alors passer tout le trafic Internet du Mac).


Après, pour voir si effectivement, comme tu le soupçonnes, un logiciel supplémentaire (un «cheval de Trois») ne serait pas en activité, il faudrait activer un pare-feu logiciel assez bavard (type Little Snitch) afin de connaître tous les accès sortant et déterminer ceux qui n'ont pas lieu d'être.


Mais si le type est assez calé, il pourrait également espionner sa liaison Wifi en se plaçant à quelques dizaines ou centaines de mètres du Mac (c'est facilement réalisable s'il n'y pas de protection ou s'il y a seulement une clé WEP, et beaucoup plus difficile mais pas totalement impossible s'il y a une clé WPA), voire intervenir au niveau de l'éventuel modem-routeur utilisé pour la liaison.

L'utilisation temporaire d'un autre ordinateur pour créer et utiliser des comptes pourrait mettre hors de cause les éléments extérieurs au Mac.


Si c'est le Mac (i.e. sa configuration ou un logiciel qu'il contient) qui est est fautif, une réinstallation totale du système et des logiciels qu'il contient pourrait régler le problème.

 

[any-one]

Le piratage wifi n'est pas possible car s'il s'agit du mec auquel on pense il habite loin.

Le keylogger me semble etre une eventualite
La configuration d'un proxy est tout a fait possible. Je n'y avait pas pense.
Ou se trouvent ces parametre ?
Je ne connais pas du tout le monde mac.

 

[PA5CAL]

On trouve le réglage du proxy dans l'utilitaire Préférences Système sous Réseau, dans la configuration de l'adaptateur utilisé pour l'accès Internet.

 

[Bilbo]

Avant de partir dans des solutions dignes de James Bond, commençons par les grands classiques. Tu vas dans les applications puis "Utilitaires". Tu y trouveras une applications appelée "Terminal". Tu la lances et tu y fais un copier/coller de ça :

ls /Library/StartupItems /Library/LaunchDaemons /Library/LaunchAgents ~/Library/LaunchAgents

Puis tu postes le résultat.

À+

 

[any-one]

ok je vais essayer ça.
j'essaierai de passer chez elle rapidement

 

[bompi]

Tu peux aussi ajouter

ls /System/Library/LaunchDaemons /System/Library/LaunchAgents

 

[PA5CAL]

... et :

ls -a ~/.profile

... et :

ls -a /etc/mach_init.d

... et pour vérifier cron :

for user in `nireport . /users name`; do sudo crontab -u $user -l; done;

... et encore bien d'autres !

Finalement, je ne suis pas certain que la vérification systématique de tous les moyens de lancement automatique d'un logiciel soit la méthode la plus rapide de le détecter.

Il serait peut-être plus aisé de vérifier quels sont les échanges avec le réseau, afin de détecter l'accès à un serveur imprévu.


À part ça, comment les nouveaux comptes piratés ont-ils été créés ? En utilisant un compte de messagerie existant ?

 

[Bilbo]

Tu peux aussi ajouter

ls /System/Library/LaunchDaemons /System/Library/LaunchAgents

Oui Bompi, bien sûr. Un petit remontant ?

Finalement, je ne suis pas certain que la vérification systématique de tous les moyens de lancement automatique d'un logiciel soit la méthode la plus rapide de le détecter.

Tu as raison. Une bonne "clean install" sans remettre en place la bibliothèque de l'utilisateur et il n'y aura plus de soucis. Après tout, faisons simple. :zen:

À+

 

[pascalformac]

ouep
une bonne install
( sans reprise)
creation de comptes neufs

je préconiserai aussi de " marquer" le coup en prenant des nouveaux noms de comptes utilisateurs et nouveaux logs
( même psychologiquement c'est mieux, effet avant-après )

 

[piff]

Voici les copier/coller des réponses à vos requêtes.


ordinateur-de-free:~ free$ ls /Library/StartupItems /Library/LaunchDaemons /Library/LaunchAgents ~/Library/LaunchAgents
ls: /Users/free/Library/LaunchAgents: No such file or directory
/Library/LaunchAgents:

/Library/LaunchDaemons:
com.google.keystone.daemon.plist

/Library/StartupItems:


ordinateur-de-free:~ free$ ls /System/Library/LaunchDaemons /System/Library/LaunchAgents
/System/Library/LaunchAgents:

/System/Library/LaunchDaemons:
bootps.plist
com.apple.KernelEventAgent.plist
com.apple.ODSAgent.plist
com.apple.atrun.plist
com.apple.dashboard.advisory.fetch.plist
com.apple.mDNSResponder.plist
com.apple.nibindd.plist
com.apple.periodic-daily.plist
com.apple.periodic-monthly.plist
com.apple.periodic-weekly.plist
com.apple.portmap.plist
com.apple.syslogd.plist
com.apple.usbmuxd.plist
com.apple.xgridagentd.plist
com.apple.xgridcontrollerd.plist
com.vix.cron.plist
comsat.plist
eppc.plist
exec.plist
finger.plist
ftp.plist
login.plist
nmbd.plist
ntalk.plist
org.isc.named.plist
org.postfix.master.plist
org.xinetd.xinetd.plist
printer.plist
shell.plist
smbd.plist
ssh.plist
swat.plist
telnet.plist
tftp.plist








ordinateur-de-free:~ free$ ls -a ~/.profile
ls: /Users/free/.profile: No such file or directory



ordinateur-de-free:~ free$ ls -a /etc/mach_init.d
. WindowServer.plist kuncd.plist
.. airport_wps.plist lookupd.plist
ATSServer.plist configd.plist mds.plist
AVCAssistant.plist coreaudiod.plist memberd.plist
DirectoryService.plist coreservicesd.plist notifyd.plist
IIDCAssistant.plist dashboardadvisoryd.plist ocspd.plist
IIDCVideoAssistant.plist diskarbitrationd.plist scsid.plist
KerberosAutoConfig.plist distnoted.plist securityd.plist
VDCAssistant.plist hdiejectd.plist


ordinateur-de-free:~ free$ s /System/Library/LaunchDaemons /System/Library/LaunchAgents
-bash: s: command not found
ordinateur-de-free:~ free$




j'ai essayé de regarder les paramètres proxy mais je ne peux pas rentrer dans les paramètres de la carte wifi . Ca me dit "vos réglages de réseau ont été modifié par une autre application".
C'est louche non ?

je n'utiliserai plus ce compte donc si un admin peut le désactiver ça serait sympa.

 

[bompi]

Oui Bompi, bien sûr. Un petit remontant ?

Je n'ai pas compris ... :siffle:

 

[Bilbo]

Je n'ai pas compris ... :siffle:

Je vais me chercher un bon café et manger plein de phosphore, je n'avais pas vu le "/System". :siffle:

À+

 

[Aliboron]

j'ai essayé de regarder les paramètres proxy mais je ne peux pas rentrer dans les paramètres de la carte wifi . Ca me dit "vos réglages de réseau ont été modifié par une autre application". C'est louche non ?

Pas forcément. Si tu fais une recherche sur les forums, tu verras que c'est un message que beaucoup (ceux qui sont sous Mac OS X 10.4.11) ont eu après une mise à jour de sécurité. A priori, aucun rapport avec les problèmes de piratage évoqués (mais la coïncidence n'est évidemment pas de nature à rassurer, on s'en doute).

Pour le reste, je ne sais pas répondre, hélas. Mais j'ai déjà connu des cas tout bêtes d'"espionnage" entre ex-conjoints où il ne s'agissait que de l'utilisation du compte de messagerie, ce qui permet déjà de faire pas mal de dégâts lorsque la victime est quelqu'un de relativement peu expérimenté.

 

[pascalformac]

Pas forcément. Si tu fais une recherche sur les forums, tu verras que c'est un message que beaucoup (ceux qui sont sous Mac OS X 10.4.11) ont eu après une mise à jour de sécurité. A priori, aucun rapport avec les problèmes de piratage évoqués (mais la coïncidence n'est évidemment pas de nature à rassurer, on s'en doute).

+1
c'est un banal reglage à corriger



Pour le reste, je ne sais pas répondre, hélas. Mais j'ai déjà connu des cas tout bêtes

d'"espionnage" entre ex-conjoints où il ne s'agissait que de l'utilisation du compte de messagerie,

ouep

A noter un petit bonus avec les comptes gmail
fini l'espionnage caché

liste les IP des logs
et permet de voir quand c'est inhabituel
(pas la sienne ou pas celle du boulot par exemple)